KR101594701B1 - 이상 접속 검출 장치 및 방법 - Google Patents

이상 접속 검출 장치 및 방법 Download PDF

Info

Publication number
KR101594701B1
KR101594701B1 KR1020140141877A KR20140141877A KR101594701B1 KR 101594701 B1 KR101594701 B1 KR 101594701B1 KR 1020140141877 A KR1020140141877 A KR 1020140141877A KR 20140141877 A KR20140141877 A KR 20140141877A KR 101594701 B1 KR101594701 B1 KR 101594701B1
Authority
KR
South Korea
Prior art keywords
connection
log
distribution
pair
pattern
Prior art date
Application number
KR1020140141877A
Other languages
English (en)
Inventor
김성덕
김성일
박기덕
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020140141877A priority Critical patent/KR101594701B1/ko
Priority to PCT/KR2014/012412 priority patent/WO2016064024A1/ko
Priority to CN201410795074.9A priority patent/CN105786677A/zh
Priority to US14/576,725 priority patent/US20160112285A1/en
Application granted granted Critical
Publication of KR101594701B1 publication Critical patent/KR101594701B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)
  • Data Mining & Analysis (AREA)

Abstract

이상 접속 검출 장치 및 방법이 개시된다. 예시적인 실시예에 따른 이상 접속 검출 장치는, 시스템 접속에 관한 로그 데이터(log data)로부터 각각 접속단계들을 나타내는 복수의 접속 패턴을 식별하도록 구성되는 로그 패턴화부; 및 상기 복수의 접속 패턴 중 특정 접속 패턴이 나타내는 이상 접속단계 쌍(pair)을 검출하기 위한 제1 로그 분석 및 상기 복수의 접속 패턴 중에서 특정 접속단계 쌍을 나타내는 이상 접속 패턴을 검출하기 위한 제2 로그 분석 중 적어도 하나를 수행하도록 구성되는 로그 분석부를 포함한다.

Description

이상 접속 검출 장치 및 방법{APPARATUS AND METHOD FOR DETECTING ABNORMAL CONNECTION}
개시되는 실시예들은 이상 접속 검출 장치 및 방법에 관한 것으로서, 더욱 상세하게는 시스템 접속에서 문제가 발생한 원인을 시스템 접속에 관한 로그 데이터(log data)를 기반으로 검출하기 위한 기법과 관련된다.
일반적으로, 정보 통신 기술을 이용하여 서비스나 솔루션을 제공하는 시스템은 가동 정보, 접속 정보, 성능 정보, 오류 정보 등 다양한 정보를 포함하는 로그(log)를 기록한다. 이러한 로그는 시스템의 동작을 모니터링하고 시스템의 오동작의 원인을 추적하기 위해 사용될 수 있다.
시스템이 많지 않은 건수의 로그를 남기는 경우에는 시스템의 개발자나 운영자가 경험에 의존하여 문제가 있는 로그(가령, 미리 정의된 서비스 수준 협약(Service Level Agreement: SLA)에 부합되지 않는 비정상적인 로그)를 쉽게 파악할 수 있을 것이다. 그러나, 시스템이 막대한 건수의 로그(가령, 시스템 접속에 관한 로그)를 남기는 경우에는 일일이 수작업으로 비정상적인 로그를 찾거나 그 원인을 확인하는 것이 현실적으로 불가능할 뿐만 아니라, 시스템의 성능을 어떤 측면에서 개선할지 결정하기도 어렵다. 따라서, 시스템과 관련하여 개선이 필요한 사항을 로그 데이터에 기반하여 더욱 정확히 파악하기 위한 새로운 접근법이 필요하다.
개시되는 실시예들은 이상 접속 검출 장치 및 방법을 제공한다.
예시적인 실시예에 따르면, 시스템 접속에 관한 로그 데이터(log data)로부터 각각 접속단계들을 나타내는 복수의 접속 패턴을 식별하도록 구성되는 로그 패턴화부; 및 상기 복수의 접속 패턴 중 특정 접속 패턴이 나타내는 이상 접속단계 쌍(pair)을 검출하기 위한 제1 로그 분석 및 상기 복수의 접속 패턴 중에서 특정 접속단계 쌍을 나타내는 이상 접속 패턴을 검출하기 위한 제2 로그 분석 중 적어도 하나를 수행하도록 구성되는 로그 분석부를 포함하는, 이상 접속 검출 장치가 제공된다.
상기 제1 로그 분석은 상기 특정 접속 패턴이 나타내는 접속단계 쌍을 식별하는 것; 및 상기 식별된 접속단계 쌍의 두 접속단계 간의 소요 시간에 대한 상기 특정 접속 패턴의 로그 건수의 분포가 정상인지 여부를 판정하는 것을 포함할 수 있다.
상기 판정은 상기 분포를 나타내는 그래프를 미리 설정된 정상 분포 그래프 및 미리 설정된 비정상 분포 그래프 중 적어도 하나와 비교하여 상기 분포가 정상인지 여부를 판정하는 것을 포함할 수 있다.
상기 로그 분석부는 또한 상기 분포를 나타내는 그래프를 디스플레이하도록 구성될 수 있다.
상기 두 접속단계는 상기 시스템 접속에서 순차적으로 행해진 것일 수 있다.
상기 제2 로그 분석은 상기 복수의 접속 패턴 중에서 상기 특정 접속단계 쌍을 나타내는 접속 패턴을 식별하는 것; 및 상기 특정 접속단계 쌍의 두 접속단계 간의 소요 시간에 대한 상기 식별된 접속 패턴의 로그 건수의 분포가 정상인지 여부를 판정하는 것을 포함할 수 있다.
상기 판정은 상기 분포를 나타내는 그래프를 미리 설정된 정상 분포 그래프 및 미리 설정된 비정상 분포 그래프 중 적어도 하나와 비교하여 상기 분포가 정상인지 여부를 판정하는 것을 포함할 수 있다.
상기 로그 분석부는 또한 상기 분포를 나타내는 그래프를 디스플레이하도록 구성될 수 있다.
상기 두 접속단계는 상기 시스템 접속에서 순차적으로 행해진 것일 수 있다.
상기 로그 패턴화부는 상기 로그 데이터를 이용하여 상기 시스템 접속에 관한 로그 별로 각 접속단계를 나타내는 코드, 상기 각 접속단계의 시작 시간 및 상기 각 접속단계의 종료 시간을 나타내는 레코드를 생성하고, 상기 레코드를 이용하여 상기 복수의 접속 패턴을 식별하도록 구성될 수 있다.
상기 특정 접속 패턴은 상기 시스템 접속에서 순차적으로 행해진 두 접속단계를 나타낼 수 있고, 상기 로그 분석부는 상기 두 접속단계의 쌍을 식별하고, 상기 두 접속단계 간의 소요 시간에 대한 상기 특정 접속 패턴의 로그 건수의 분포를 상기 레코드를 이용하여 확인하며, 상기 분포를 기반으로 상기 식별된 쌍이 상기 이상 접속단계 쌍인지 판정하여 상기 제1 로그 분석을 수행하도록 구성될 수 있다.
상기 특정 접속단계 쌍은 상기 시스템 접속에서 순차적으로 행해진 두 접속단계의 쌍일 수 있고, 상기 로그 분석부는 상기 복수의 접속 패턴 중에서 상기 특정 접속단계 쌍을 나타내는 접속 패턴을 식별하고, 상기 두 접속단계 간의 소요 시간에 대한 상기 식별된 접속 패턴의 로그 건수의 분포를 상기 레코드를 이용하여 확인하며, 상기 분포를 기반으로 상기 식별된 접속 패턴이 상기 이상 접속 패턴인지 판정하여 상기 제2 로그 분석을 수행하도록 구성될 수 있다.
다른 예시적인 실시예에 따르면, 시스템 접속에 관한 로그 데이터로부터 각각 접속단계들을 나타내는 복수의 접속 패턴을 식별하는 단계; 및 상기 복수의 접속 패턴 중 특정 접속 패턴이 나타내는 이상 접속단계 쌍을 검출하기 위한 제1 로그 분석 및 상기 복수의 접속 패턴 중에서 특정 접속단계 쌍을 나타내는 이상 접속 패턴을 검출하기 위한 제2 로그 분석 중 적어도 하나를 수행하는 단계를 포함하는, 이상 접속 검출 방법이 제공된다.
상기 제1 로그 분석은 상기 특정 접속 패턴이 나타내는 접속단계 쌍을 식별하는 것; 및 상기 식별된 접속단계 쌍의 두 접속단계 간의 소요 시간에 대한 상기 특정 접속 패턴의 로그 건수의 분포가 정상인지 여부를 판정하는 것을 포함할 수 있다.
상기 판정은 상기 분포를 나타내는 그래프를 미리 설정된 정상 분포 그래프 및 미리 설정된 비정상 분포 그래프 중 적어도 하나와 비교하여 상기 분포가 정상인지 여부를 판정하는 것을 포함할 수 있다.
상기 이상 접속 검출 방법은 상기 분포를 나타내는 그래프를 디스플레이하는 단계를 더 포함할 수 있다.
상기 두 접속단계는 상기 시스템 접속에서 순차적으로 행해진 것일 수 있다.
상기 제2 로그 분석은 상기 복수의 접속 패턴 중에서 상기 특정 접속단계 쌍을 나타내는 접속 패턴을 식별하는 것; 및 상기 특정 접속단계 쌍의 두 접속단계 간의 소요 시간에 대한 상기 식별된 접속 패턴의 로그 건수의 분포가 정상인지 여부를 판정하는 것을 포함할 수 있다.
상기 판정은 상기 분포를 나타내는 그래프를 미리 설정된 정상 분포 그래프 및 미리 설정된 비정상 분포 그래프 중 적어도 하나와 비교하여 상기 분포가 정상인지 여부를 판정하는 것을 포함할 수 있다.
상기 이상 접속 검출 방법은 상기 분포를 나타내는 그래프를 디스플레이하는 단계를 더 포함할 수 있다.
상기 두 접속단계는 상기 시스템 접속에서 순차적으로 행해진 것일 수 있다.
상기 식별하는 단계는 상기 로그 데이터를 이용하여 상기 시스템 접속에 관한 로그 별로 각 접속단계를 나타내는 코드, 상기 각 접속단계의 시작 시간 및 상기 각 접속단계의 종료 시간을 나타내는 레코드를 생성하는 단계; 및 상기 레코드를 이용하여 상기 복수의 접속 패턴을 식별하는 단계를 포함할 수 있다.
상기 특정 접속 패턴은 상기 시스템 접속에서 순차적으로 행해진 두 접속단계를 나타낼 수 있고, 상기 수행하는 단계는 상기 두 접속단계의 쌍을 식별하는 단계; 상기 두 접속단계 간의 소요 시간에 대한 상기 특정 접속 패턴의 로그 건수의 분포를 상기 레코드를 이용하여 확인하는 단계; 및 상기 분포를 기반으로 상기 식별된 쌍이 상기 이상 접속단계 쌍인지 판정하여 상기 제1 로그 분석을 수행하는 단계를 포함할 수 있다.
상기 특정 접속단계 쌍은 상기 시스템 접속에서 순차적으로 행해진 두 접속단계의 쌍일 수 있고, 상기 수행하는 단계는 상기 복수의 접속 패턴 중에서 상기 특정 접속단계 쌍을 나타내는 접속 패턴을 식별하는 단계; 상기 두 접속단계 간의 소요 시간에 대한 상기 식별된 접속 패턴의 로그 건수의 분포를 상기 레코드를 이용하여 확인하는 단계; 및 상기 분포를 기반으로 상기 식별된 접속 패턴이 상기 이상 접속 패턴인지 판정하여 상기 제2 로그 분석을 수행하는 단계를 포함할 수 있다.
또 다른 예시적인 실시예에 따르면, 하드웨어와 결합되어, 전술한 이상 접속 검출 방법을 실행시키기 위하여 저장 매체에 저장된 컴퓨터 프로그램이 제공된다.
소정의 실시예에 따르면, 다수의 접속단계들을 통해 행해진 시스템 접속에 관한 로그 데이터를 이용하여 이상 접속 패턴 및 이상 접속단계 쌍을 검출할 수 있다.
소정의 실시예는, 종래에 시스템의 성능 개선이 시스템의 개발자나 운영자의 경험에 의존하던 것과 달리, 시스템 접속에서 행해진 접속단계들의 특정 패턴이 나타내는 이상 접속단계 쌍 및/또는 특정 접속단계 쌍을 나타내는 이상 접속 패턴의 검출을 통해 시스템의 성능 향상을 용이하게 한다.
소정의 실시예에 따르면, 시스템의 성능을 개선하기 위해 고려해야 할 접속단계들을 더욱 정확하게 검출할 수 있다.
도 1은 예시적인 실시예에 따른 이상 접속 검출 장치를 도식적으로 나타낸 도면,
도 2는 예시적인 실시예에 따라 로그 별로 생성되는 레코드를 도시한 도면,
도 3은 예시적인 실시예에 따른 접속 패턴을 도시한 도면,
도 4는 예시적인 실시예에 따라 포맷팅된 접속 패턴 정보를 도시한 도면,
도 5는 예시적인 실시예에 따라 특정 접속 패턴이 나타내는 접속단계 쌍 별로 로그 분포도를 도시한 도면,
도 6 및 도 7은 각각 예시적인 실시예에 따라 특정 접속단계 쌍을 나타내는 접속 패턴 별로 로그 분포도를 도시한 도면,
도 8은 예시적인 실시예에 따른 이상 접속 검출 과정의 흐름도.
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
도 1은 예시적인 실시예에 따른 이상 접속 검출 장치를 도식적으로 나타낸 도면이다.
도 1에 도시된 바와 같이, 예시적인 이상 접속 검출 장치(100)는 로그 수집부(110), 로그 패턴화부(120) 및 로그 분석부(130)를 포함한다. 이상 접속 검출 장치(100)의 위 모듈들 각각은 하드웨어로 구현될 수 있다. 예를 들어, 이상 접속 검출 장치(100)는 컴퓨팅 장치 내에 구현되거나 포함될 수 있다. 이러한 컴퓨팅 장치는 하나 이상의 프로세서 및 그 프로세서에 의해 액세스 가능한 메모리와 같은 컴퓨터 판독 가능 저장 매체를 포함할 수 있다. 컴퓨터 판독 가능 저장 매체는 프로세서의 내부 또는 외부에 배치될 수 있고, 잘 알려진 다양한 수단으로 프로세서와 연결될 수 있다. 컴퓨터 판독 가능 저장 매체에는 컴퓨팅 장치를 제어하는 컴퓨터 실행 가능 명령어가 저장되어 있을 수 있다. 프로세서는 컴퓨터 판독 가능 저장 매체에 저장된 명령어를 실행할 수 있다. 그러한 명령어는 프로세서에 의해 실행되는 경우 프로세서로 하여금 예시적인 실시예에 따른 동작을 수행하게 할 수 있다. 또한, 컴퓨팅 장치는 그 컴퓨팅 장치 및 적어도 하나의 외부 장치 간 입/출력 및/또는 통신을 지원하도록 구성된 인터페이스 장치를 더 포함할 수 있는바, 인터페이스 장치를 통해 외부 장치(가령, 서비스 내지 솔루션을 제공하고 시스템 접속에 관한 로그 데이터를 기록하는 시스템이 구현된 장치)와 연결될 수 있다. 나아가, 컴퓨팅 장치는 다른 다양한 컴포넌트들(가령, 입력 장치 및/또는 출력 장치)을 더 포함할 수 있고, 인터페이스 장치는 그 컴포넌트들을 위한 인터페이스를 제공할 수 있다. 입력 장치의 예들은 마우스와 같은 포인팅 장치, 키보드, 터치 감지 입력 장치, 마이크와 같은 음성 입력 장치를 포함한다. 출력 장치의 예들은 디스플레이 장치, 프린터, 스피커 및/또는 네트워크 카드를 포함한다. 이에 따라, 이상 접속 검출 장치(100)의 로그 수집부(110), 로그 패턴화부(120) 및 로그 분석부(130)는 상술한 컴퓨팅 장치의 하드웨어로 구현될 수 있다.
설명의 편의를 위해, 이상 접속 검출 장치(100)가 VDI(Virtual Desktop Infrastructure) 서비스를 제공하는 시스템(180)으로의 접속에 관한 로그 데이터를 이용하여 동작하는 예시적인 운영 환경이 이하에서 언급될 것이다. VDI 시스템(180)은 가상 데스크탑 환경을 제공하기 위한 서버를 포함하며, 사용자로 하여금 씬 클라이언트(Thin Client) 또는 제로 클라이언트(Zero Client)와 같은 단말을 통해 서버에 접속하여 가상 데스크탑 환경에서 작업을 수행할 수 있게 한다. VDI 시스템(180)은 다양한 데이터를 접속단계 별로 상세하게 구분하여 로그로 기록한다. 이상 접속 검출 장치(100)는 VDI 시스템(180)으로의 접속에 관한 로그 데이터로부터 접속단계들의 패턴을 식별할 수 있고, 특정 패턴이 나타내는 비정상적인 접속단계 쌍(pair) 및/또는 특정 접속단계 쌍을 나타내는 비정상적인 패턴을 검출할 수 있다. 다만, 이러한 운영 환경은 어디까지나 예시일 뿐이며, 다른 타입의 시스템을 위해서도 이상 접속 검출 장치(100)가 활용될 수 있다.
이제 도 1을 참조하여, 이상 접속 검출 장치(100)의 각 모듈에 관해 더욱 상세히 설명한다.
로그 수집부(110)는 시스템 접속에 관한 로그 데이터를 수집하도록 구성된다. 예를 들어, VDI 시스템(180)은 서비스 개선요청 정보를 포함하는 로그, 사용자 접속 정보, VM 기동 현황 정보, 네트워크 트래픽 정보 등을 포함하는 웹포털 로그, VM 기동 성공/오류 정보를 포함하는 DDC(Desktop Delivery Controller) 로그, 하이퍼바이저(hypervisor)의 성능 정보, syslog 정보 등을 포함하는 하이퍼바이저 로그 및/또는 사용자 단말의 운영체제(Operating System: OS), 웹 브라우저, 중앙처리유닛(Central Processing Unit: CPU), 메모리 등에 관한 정보를 포함하는 사용자 단말 로그와 같은 다양한 로그를 수집할 수 있다.
예시적인 실시예에 따르면, VDI 시스템(180)으로의 접속에서는 복수의 접속단계 중 적어도 일부가 순차적으로 발생할 수 있다. 가령, 그러한 시스템 접속을 위해 총 45개의 접속단계들 중 적어도 일부가 순차적으로 행해진다. 예를 들어, 사용자 단말이 VDI 시스템(180)에 접속하였고 (가령, SLA 측면에서 볼 때) 그러한 접속에서 별다른 문제가 발생하지 않은 것으로 볼 수 있는 경우, 이러한 정상적인 접속은 다음과 같은 16개의 코드에 각각 대응하는 VDI 접속단계들을 거쳐 가상 머신이 기동되어 가상 머신 접속 기록을 생성하는 단계(가령, 사용자가 VDI 서비스를 받을 수 있도록 웹 브라우저 상에 VDI 서비스 화면을 디스플레이하기 위해 가상 머신을 구동하는 단계)로 완료될 수 있다.
- AGENT_CHECK:START
- AGENT_CHECK:END
- VDIMANAGER_CHECK:START
- VDIMANAGER_CHECK:END
- VDIMANAGER_RUN:OK
- IECONFIG:START
- IECONFIG:END
- PORTALVERIFY:START
- PORTALVERIFY:END
- CHECKVERSION:START
- CHECKVERSION:OK
- CHECKVERSION:END
- VDISTART:OK
- DDC_CALL:OK
- DDC_AUTO_CALL:OK
- ICA_CREATE:OK
위에서 예시적으로 제시된 16개의 접속단계들 중 앞의 7개는 환경 체크를 위한 접속단계들이다. 이 접속단계들은 VDI 사용 가능 환경의 설정(가령, 인터넷 익스플로러(Internet Explorer: IE)와 같은 웹 브라우저에서 신뢰 사이트, 프록시 등의 설정, 로컬 PC와 같은 사용자 단말의 버전, 로깅(logging), 관련 프로그램 설치 여부의 체크 등)과 관련된다. 다음의 9개의 접속단계들은 VDI 인증/접속을 위한 접속단계들이다. 이 접속단계들은 사용자 인증, VDI 프로그램의 확인/설치, VDI의 서버 내지 DDC와의 통신, 가상 머신(Virtual Machine: VM)의 생성을 위한 파일(가령, ICA(Independent Computing Architecture) 프로토콜을 지원하는 *.ica 파일)의 생성 및 실행 등과 관련된다.
로그 패턴화부(120)는 수집된 로그 데이터로부터 복수의 접속 패턴을 식별하도록 구성된다. 예를 들어, 각 접속 패턴은 VDI 시스템(180)으로의 접속에서 순차적으로 행해진 접속단계들을 나타낼 수 있다. 특히, 각 접속 패턴은 접속단계들이 위와 같은 시스템 접속에서 행해진 순서로 그 접속단계들을 나타내는 시퀀스일 수 있다.
예시적인 실시예에 따르면, 로그 패턴화부(120)는 로그 데이터를 이용하여 시스템 접속에 관한 로그 별로 단일 레코드를 생성한 후, 단일 레코드를 이용하여 접속 패턴을 식별할 수 있다.
로그 패턴화부(120)에 의해 생성되는 레코드는 접속단계를 나타내는 코드, 접속단계의 시작 시간 및 접속단계의 종료 시간을 "접속단계 코드|시작 시간|종료 시간|"과 같은 포맷으로 나타내는 레코드 요소의 연속적인 스트림(stream)일 수 있다. 이러한 포맷에 따르면, 앞서 언급된 16개의 VDI 접속단계들을 통해 행해지는 시스템 접속에 관한 로그는 도 2의 예시적인 레코드(200)로 변환될 수 있다. 도 2에 도시된 바와 같이, 레코드(200)는 16개의 접속단계들과 관련된 레코드 요소들을 그 접속단계들이 행해진 순서에 따라 나타낸다.
이어서, 로그 패턴화부(120)는 동일한 순서로 행해진 동일한 접속단계들을 나타내는 레코드들끼리 그룹핑하여 하나의 접속 패턴을 식별할 수 있다. 예를 들어, 로그 패턴화부(120)는 도 2의 레코드(200)로부터 시간 순서대로 접속단계 코드들을 추출하여 도 3에 도시된 바와 같이 그 순서에 따라 접속단계 코드들이 목록화된 접속 패턴(300)을 식별할 수 있다.
위와 같은 방식으로 여러 접속 패턴들이 식별되면, 로그 패턴화부(120)는 각 접속 패턴 및 그 접속 패턴과 연관된 데이터(가령, 접속 패턴이 나타내는 접속단계 개수, 접속단계를 통해 행해진 시스템 접속에 따라 기록된 로그 건수, 시스템 접속에 소요되는 시간(가령, 평균 시간), 로그 건수를 기준으로 접속 패턴의 비율 및/또는 시스템 접속이 (가령, SLA 측면에서) 정상적인지 여부)를 도 4에 도시된 포맷에 따라 기록하여 접속 패턴 정보(400)를 생성할 수 있다. 로그 패턴화부(120)에 의해 식별될 수 있는 상이한 접속 패턴의 총 개수는 접속되는 시스템이 제공하는 서비스의 구조에 따라 가변적이다. 가령, 도 4에서 볼 수 있듯이, 13,698개의 상이한 접속 패턴이 식별될 수 있다. 다만, 모든 접속 패턴들 중 높은 비율의 몇몇 접속 패턴들에 상당한 수의 로그 건수가 집중될 수 있다. 가령, 도 4에 도시된 접속 패턴 정보(400)에서 상위 20개의 접속 패턴들의 비율은 80%를 초과할 수 있다.
로그 분석부(130)는 식별된 접속 패턴들 중 특정 접속 패턴이 나타내는 이상 접속단계 쌍을 검출하기 위한 제1 로그 분석 및 식별된 접속 패턴들 중에서 특정 접속단계 쌍을 나타내는 이상 접속 패턴을 검출하기 위한 제2 로그 분석 중 적어도 하나를 수행하도록 구성된다.
우선, 제1 로그 분석에 대해 설명한다. 예를 들어, 제1 로그 분석은 접속 패턴 별로 해당 접속 패턴이 나타내는 접속단계 쌍들 중에서 이상 접속단계 쌍을 검출할 수 있다. 다른 예로서, 몇몇 선택된 접속 패턴(가령, 로그 건수가 상당한 접속 패턴)에 대해 제1 로그 분석이 수행될 수 있다. 어느 경우이든, 특정 접속 패턴에 따라 시스템 접속이 행해지고 특정 접속 패턴 내의 두 접속단계(가령, 시스템 접속에서 순차적으로 행해진 두 접속단계) 간의 소요 시간이 비정상적으로 길면, 로그 분석부(130)는 위 두 접속단계의 쌍을 이상 접속단계 쌍으로 식별할 수 있다.
일 예로서, 로그 분석부(130)가 도 4의 접속 패턴 정보(400)에서 "G9"이라고 표시된 접속 패턴(이하, "9번 접속 패턴"이라고도 지칭됨)에 대해 제1 로그 분석을 수행한다고 가정한다. 도 5를 참조하면, 로그 분석부(130)는 9번 접속 패턴이 나타내는 16개의 접속단계 쌍(각각 시스템 접속에서 순차적으로 행해진 두 접속단계의 쌍임)을 식별할 수 있다. 어떤 접속단계 쌍의 선행 접속단계와 후행 접속단계를 "선행 접속단계 코드>후행 접속단계 코드"와 같은 포맷으로 표시하면, 위 16개의 접속단계 쌍은 다음과 같이 표시할 수 있다.
- AGENT_CHECK:START>AGENT_CHECK:END
- AGENT_CHECK:END>VDIMANAGER_CHECK:START
- VDIMANAGER_CHECK:START>VDIMANAGER_CHECK:END
- VDIMANAGER_CHECK:END>VDIMANAGER_RUN:OK
- VDIMANAGER_RUN:OK>IECONFIG:START
- IECONFIG:START>IECONFIG:END
- IECONFIG:END>PORTALVERIFY:START
- PORTALVERIFY:START>PORTALVERIFY:END
- PORTALVERIFY:END>CHECKVERSION:START
- CHECKVERSION:START>CHECKVERSION:OK
- CHECKVERSION:OK>CHECKVERSION:END
- CHECKVERSION:END>VDISTART:OK
- VDISTART:OK>DDC_CALL:OK
- DDC_CALL:OK>DDC_AUTO_CALL:OK
- DDC_AUTO_CALL:OK>VM_REBOOTING:OK
- VM_REBOOTING:OK>ICA_CREATE:OK
도 5에서 접속단계 쌍 별로 도시된 로그 분포도들 내지 그래프들(501 내지 516)은 각각 순차적인 두 접속단계 간의 소요 시간에 대한 9번 접속 패턴의 로그 건수(즉, 9번 접속 패턴이 나타내는 접속단계들을 통해 행해진 시스템 접속에 따른 로그의 개수)의 분포를 시각적으로 표현한다. 그래프들(501 내지 516) 각각은 소요 시간을 가로 축에 보여주고 로그 건수를 세로 축에 보여준다. 로그 분석부(130)는 이러한 분포를 9번 접속 패턴의 로그 별로 생성된 레코드(가령, 도 2의 레코드(200)와 동일한 포맷을 가질 수 있음)를 이용하여 확인할 수 있다.
이어서, 로그 분석부(130)는 확인된 분포를 이용하여 각 접속단계 쌍이 이상 접속단계 쌍인지 판정할 수 있다. 이를 위해, 로그 분석부(130)는 각 접속단계 쌍과 연관된 분포가 정상인지 여부를 판정할 수 있다. 가령, 로그 분석부(130)는 미리 설정된 적어도 하나의 정상 분포 그래프 및/또는 미리 설정된 적어도 하나의 비정상 분포 그래프와 그래프들(501 내지 516) 각각을 비교하는 이미지 비교 방식을 통해 그래프들(501 내지 516) 각각이 나타내는 분포가 정상인지 여부를 판정할 수 있고, 비정상적인 분포를 갖는 접속단계 쌍을 이상 접속단계 쌍으로서 식별할 수 있다. 예를 들면, 도 5의 그래프(503)는 가로 축 방향으로 꼬리가 길게 늘어진 형상(가령, 임계 건수를 초과하는 로그 건수에 대응하고 임계 시간을 초과하는 소요 시간의 개수가 기준 값 이상임)을 가지는 롱테일(long-tail) 타입의 그래프이고, 그래프(508)은 세로 축 방향으로 두드러지는 여러 개의 꼭지점(가령, 각 꼭지점은 그 꼭지점에 대응하는 소요 시간 주위의 일정 시구간에서 나타나는 다른 꼭지점보다 기준 값 이상 큰 로그 건수를 표시함)을 나타내는 멀티탑(multi-top) 타입의 그래프이며, 그래프(516)은 평균 내지 중앙값이 다른 그래프에 비해 가로 축에서 우측으로 치우쳐져(가령, 평균값 또는 중앙값의 로그 건수에 대응하는 소요 시간이 임계 시간을 초과하는 경우) 전체적으로 두 접속단계 간의 소요 시간이 상당히 긴 롱타임(long-time) 타입의 그래프이다. 이러한 그래프들(503, 508, 516) 각각은 대응하는 접속단계 쌍의 수행에 적지 않은 시간이 걸린 로그 건수가 무시하지 못할 정도라는 점을 시사한다. 그리고, 로그 분석부(130)는 각 접속단계 쌍과 연관된 분포를 나타내는 그래프가 롱테일 타입의 그래프, 멀티탑 타입의 그래프 및 롱타임 타입의 그래프 중 적어도 하나인지 확인하여 그 분포가 정상인지 여부를 판정할 수 있고, 그 분포가 정상적이지 않은 경우 위 접속단계 쌍을 이상 접속단계 쌍으로서 검출할 수 있다. 따라서, 로그 분석부(130)는 9번 접속 패턴이 나타내는 다음의 접속단계 쌍들이 이상 접속단계 쌍이라고 판정할 수 있다.
- IECONFIG:START>IECONFIG:END
- PORTALVERIFY:START>PORTALVERIFY:END
- VM_REBOOTING:OK>ICA_CREATE:OK
이러한 판정으로부터 인터넷 익스플로러의 설정, 웹 포탈(web portal) 접속 확인 및/또는 가상 머신의 부팅/생성에서 발생한 지연의 원인을 찾아 고칠 필요가 있음을 파악할 수 있다.
이와 같이, 설령 9번 접속 패턴의 모든 접속단계에 소요되는 시간에 대한 9번 접속 패턴의 로그 건수의 분포가 정상적이더라도, 로그 분석부(130)는 9번 접속 패턴이 나타내는 이상 접속단계 쌍이 있다면 이를 검출할 수 있다.
다음으로, 제2 로그 분석에 대해 설명한다. 제2 로그 분석은 식별된 접속 패턴들로부터 도출 가능한 접속단계 쌍에 대해 수행될 수 있다. 로그 분석부(130)는 그 접속단계 쌍을 나타내는 적어도 하나의 접속 패턴 중에서 이상 접속 패턴을 검출할 수 있다. 가령, 도 4에 예시된 13,698개의 접속 패턴이 로그 패턴화부(120)에 의해 식별된 경우, 그 접속 패턴들에서는 순차적인 두 접속단계들의 상이한 쌍이 총 850개 나타날 수 있다. 로그 분석부(130)는 이러한 접속단계 쌍 중 적어도 일부에 대해 제2 로그 분석을 수행할 수 있다. 이 경우, 특정 접속단계 쌍을 나타내는 접속 패턴에 따라 시스템 접속이 행해지고 그 특정 접속단계 쌍의 두 접속단계(가령, 시스템 접속에서 순차적으로 행해진 두 접속단계) 간의 소요 시간이 비정상적으로 길면, 로그 분석부(130)는 위 접속 패턴을 이상 접속 패턴으로 식별할 수 있다. 예를 들어, 로그 분석부(130)는 그 두 접속 단계 간의 소요 시간에 대해 위 접속 패턴의 로그 건수의 분포를 나타내는 그래프가 롱테일 타입의 그래프, 멀티탑 타입의 그래프 및 롱타임 타입의 그래프 중 적어도 하나인지 확인하여 그 분포가 정상인지 여부를 판정할 수 있고, 그 분포가 정상적이지 않은 경우 위 접속 패턴을 이상 접속 패턴으로서 검출할 수 있다.
일 예로서, 로그 분석부(130)가 다음과 같이 표시되는 접속단계 쌍(이하, "1번 접속단계 쌍")에 대해 제2 로그 분석을 수행한다고 가정한다.
- PORTALVERIFY:START>CHECKVERSION:START
도 6을 참조하면, 로그 분석부(130)는 1번 접속단계 쌍의 두 접속단계를 순차적으로 나타내는 2개의 접속 패턴을 식별할 수 있다. 이 2개의 접속 패턴 중 하나는 도 6에서 "78"이라고 표시된 접속 패턴(이하, "78번 접속 패턴"이라고도 지칭됨)이고, 다른 하나는 도 6에서 "79"라고 표시된 접속 패턴(이하, "79번 접속 패턴"이라고도 지칭됨)이다. 도 6에 도시된 로그 분포도 내지 그래프(678)는 1번 접속단계 쌍의 두 접속단계 간의 소요 시간에 대한 78번 접속 패턴의 로그 건수의 분포를 시각적으로 표현하고, 로그 분포도 내지 그래프(679)는 위 두 접속단계 간의 소요 시간에 대한 79번 접속 패턴의 로그 건수의 분포를 시각적으로 표현한다. 그래프들(678, 679) 각각은 소요 시간을 가로 축에 보여주고 로그 건수를 세로 축에 보여준다. 로그 분석부(130)는 각 분포를 78번 접속 패턴 또는 79번 접속 패턴의 로그 별로 생성된 레코드(가령, 도 2의 레코드(200)와 동일한 포맷을 가질 수 있음)를 이용하여 확인할 수 있다
이어서, 로그 분석부(130)는 확인된 분포를 이용하여 78번 접속 패턴이 이상 접속 패턴인지 및 79번 접속 패턴이 이상 접속 패턴인지 판정할 수 있다. 이를 위해, 로그 분석부(130)는 각 접속 패턴과 연관된 분포가 정상인지 여부를 판정할 수 있다. 가령, 로그 분석부(130)는 미리 설정된 적어도 하나의 정상 분포 그래프 및/또는 미리 설정된 적어도 하나의 비정상 분포 그래프와 그래프들(678, 679) 각각을 비교하는 이미지 비교 방식을 통해 그래프들(678, 679) 각각이 나타내는 분포가 정상인지 여부를 판정할 수 있고, 비정상적인 분포를 갖는 접속 패턴을 이상 접속 패턴으로서 식별할 수 있다. 예를 들면, 도 6의 그래프들(678, 679)은 롱테일 타입, 멀티탑 타입 또는 롱타임 타입의 그래프가 아니며 모두 정상적인 분포를 나타낸다고 판정될 수 있다.
반면, 로그 분석부(130)가 다음과 같이 표시되는 접속단계 쌍(이하, "2번 접속단계 쌍")에 대해 제2 로그 분석을 수행한다고 가정한다.
- IECONFIG:START>IECONFIG:OK
도 7을 참조하면, 로그 분석부(130)는 2번 접속단계 쌍의 두 접속단계를 순차적으로 나타내는 29개의 접속 패턴을 식별할 수 있다. 도 7은 이 29개의 접속 패턴 각각과 연관된 분포를 시각적으로 나타내는 로그 분포도 내지 그래프(가로축에 소요 시간을 보여주고 세로 축에 로그 건수를 보여줌)를 도시한다. 로그 분석부(130)는 앞서 설명한 바와 마찬가지 방식으로 이러한 분포를 확인하고 각 접속 패턴이 이상 접속 패턴인지 판정할 수 있다. 예를 들면, 도 7에서 "17"이라고 표시된 접속 패턴(이하, "17번 접속 패턴"이라고도 지칭됨)이 나타내는 그래프(717)는 2번 접속단계 쌍의 두 접속단계 간의 소요 시간에 대한 17번 접속 패턴의 로그 건수의 분포를 시각적으로 표현한다. 그런데, 그래프(717)는 도 7에 도시된 다른 그래프들에 비해 평균 내지 중앙값이 다른 그래프에 비해 우측으로 치우쳐져 전체적으로 위 두 접속단계 간의 소요 시간이 상당히 길다는 것을 알 수 있다. 따라서, 로그 분석부(130)는 2번 접속단계 쌍을 나타내는 17번 접속 패턴이 롱타임 타입의 로그 분포도를 갖는 이상 접속 패턴이라고 판정할 수 있다. 이러한 판정으로부터 인터넷 익스플로러의 설정에서 발생한 지연의 원인을 찾아 고칠 필요가 있음을 파악할 수 있다.
이와 같이, 로그 분석부(130)는 2번 접속단계 쌍을 나타내는 이상 접속 패턴이 있다면 이를 검출할 수 있다. 특히, 제2 로그 분석은 상당히 많은 수의 접속 패턴이 존재하여 모든 접속 패턴에 대해 제1 로그 분석을 수행하기 곤란한 경우에도 동일한 접속단계 쌍을 나타내는 접속 패턴들 중에서 이상 접속 패턴을 파악하는 데 유용하다.
전술한 바와 같이 로그 분석부(130)가 제1 로그 분석 및/또는 제2 로그 분석을 수행하여 이상 접속단계 쌍 및 이상 접속단계 쌍을 나타내는 이상 접속 패턴을 검출하면, 이러한 접속 패턴 및 접속단계 쌍에 관한 정보(가령, OS, 웹 브라우저, CPU, 메모리 등에 관한 사용자 환경 정보, 사용자가 접속한 서버의 OS, CPU, 메모리 등에 관한 서버 환경 정보 및/또는 접속이 행해진 요일, 시간대 등에 관한 접속 시간 정보)에서 공통적인 요소를 파악할 수 있다. 이러한 공통 요소는 FPG(Frequent Pattern Grouping) 알고리즘과 같은 연관 패턴 분석 기법을 이용하여 식별할 수 있다. 식별된 공통 요소에서 시스템 접속의 문제가 발생하였을 가능성이 높으므로, 그 문제를 해결하기 위한 적절한 조치를 신속하고 용이하게 취할 수 있다.
나아가, 로그 분석부(130)는 제1 로그 분석을 수행하는 경우 각 접속단계와 연관된 분포를 나타내는 그래프(가령, 도 5의 그래프들(501 내지 516))를 디스플레이 장치 상에 디스플레이할 수 있다. 또한, 로그 분석부(130)는 제2 로그 분석을 수행하는 경우 각 접속 패턴과 연관된 분포를 나타내는 그래프(가령, 도 6의 그래프들(678, 679))를 디스플레이 장치 상에 디스플레이할 수 있다. 따라서, 이상 접속 검출 장치(100)의 사용자는 이상 접속 패턴 및/또는 이상 접속단계 쌍과 같은 문제를 보여주는 그래프를 시각적으로 확인할 수 있다.
도 8은 예시적인 실시예에 따른 이상 접속 검출 과정을 도시한다. 예를 들어, 예시적인 과정(800)은 이상 접속 검출 장치(100)에 의해 수행될 수 있다.
시작 동작 후, 과정(800)은 동작(S810)으로 진행된다. 동작(S810)에서, 시스템 접속에 관한 로그 데이터가 수집된다. 예를 들어, 로그 수집부(110)는 소정의 서비스를 제공하는 시스템(가령, VDI 시스템(180))으로의 접속에 관한 로그 데이터를 수집할 수 있다. 이러한 시스템 접속에서 발생하는 접속단계의 코드가 로그 데이터에 기록되어 있을 수 있다.
동작(S820)에서, 로그 데이터로부터 복수의 접속 패턴이 식별된다. 각각의 접속 패턴은 시스템 접속에서 행해진 접속단계들의 순서화된 목록일 수 있다. 예를 들어, 로그 패턴화부(120)는 로그 데이터를 이용하여 시스템 접속에 관한 로그 별로 각 접속단계를 나타내는 코드, 그 접속단계의 시작 시간 및 그 접속단계의 종료 시간을 나타내는 레코드를 시스템 접속에 관한 로그 별로 생성할 수 있다. 이어서, 로그 패턴화부(120)는 이와 같이 로그 별로 생성된 레코드를 이용하여 복수의 접속 패턴을 식별할 수 있다.
동작(S830)에서, 식별된 복수의 접속 패턴 중 특정 접속 패턴이 나타내는 이상 접속단계 쌍을 검출하기 위한 제1 로그 분석 및 식별된 복수의 접속 패턴 중에서 특정 접속단계 쌍을 나타내는 이상 접속 패턴을 검출하기 위한 제2 로그 분석 중 적어도 하나가 수행된다.
제1 로그 분석은 특정 접속 패턴이 나타내는 접속단계 쌍(가령, 시스템 접속에서 순차적으로 행해진 두 접속단계의 쌍)을 식별하는 것 및 식별된 접속단계 쌍의 두 접속단계 간의 소요 시간에 대한 특정 접속 패턴의 로그 건수의 분포(이하, "제1 분포"라고도 지칭됨)가 정상인지 여부를 판정하는 것을 포함할 수 있다. 이러한 판정을 위해, 제1 분포를 나타내는 그래프가 미리 설정된 정상 분포 그래프 및 미리 설정된 비정상 분포 그래프 중 적어도 하나와 비교될 수 있다.
예를 들어, 로그 분석부(130)는 위와 같은 두 접속단계의 쌍을 식별할 수 있고, 로그 별로 생성된 레코드를 이용하여 제1 분포를 확인할 수 있으며, 식별된 접속단계 쌍이 이상 접속단계 쌍인지 여부를 제1 분포를 기반으로 판정하여 제1 로그 분석을 수행할 수 있다.
제2 로그 분석은 복수의 접속 패턴 중에서 특정 접속단계 쌍(가령, 시스템 접속에서 순차적으로 행해진 두 접속단계의 쌍)을 나타내는 접속 패턴을 식별하는 것 및 특정 접속단계 쌍의 두 접속단계 간의 소요 시간에 대한 식별된 접속 패턴의 로그 건수의 분포(이하, "제2 분포"라고도 지칭됨)가 정상인지 여부를 판정하는 것을 포함할 수 있다. 이러한 판정을 위해, 제2 분포를 나타내는 그래프가 미리 설정된 정상 분포 그래프 및 미리 설정된 비정상 분포 그래프 중 적어도 하나와 비교될 수 있다.
예를 들어, 로그 분석부(130)는 복수의 접속 패턴 중에서 위와 같은 특정 접속단계 쌍을 나타내는 접속 패턴을 식별할 수 있고, 로그 별로 생성된 레코드를 이용하여 제2 분포를 확인할 수 있으며, 식별된 접속 패턴이 이상 접속 패턴인지 여부를 제2 분포를 기반으로 판정하여 제2 로그 분석을 수행할 수 있다.
동작(S840)에서, 접속 패턴 및 접속단계 쌍과 연관된 여러 로그 분포도가 디스플레이된다. 예를 들어, 로그 분석부(130)는 제1 분포를 나타내는 그래프 및/또는 제2 분포를 나타내는 그래프를 디스플레이 장치에 디스플레이할 수 있다.
한편, 예시적인 실시예는 본 명세서에서 기술한 과정을 컴퓨터상에서 수행하기 위한 프로그램을 포함하는 컴퓨터 판독 가능 저장 매체를 포함할 수 있다. 이러한 컴퓨터 판독 가능 저장 매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 그 컴퓨터 판독 가능 저장 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들일 수 있다. 컴퓨터 판독 가능 저장 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 플롭티컬 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
100: 이상 접속 검출 장치
110: 로그 수집부
120: 로그 패턴화부
130: 로그 분석부
180: VDI 시스템

Claims (31)

  1. 시스템 접속에 관한 로그 데이터(log data)로부터 각각 접속단계들을 나타내는 복수의 접속 패턴을 식별하도록 구성되는 로그 패턴화부; 및
    상기 복수의 접속 패턴 중 특정 접속 패턴이 나타내는 이상 접속단계 쌍(pair)을 검출하기 위한 로그 분석을 수행하도록 구성되는 로그 분석부를 포함하는, 이상 접속 검출 장치.
  2. 청구항 1에 있어서,
    상기 로그 분석은
    상기 특정 접속 패턴이 나타내는 접속단계 쌍을 식별하는 것; 및
    상기 식별된 접속단계 쌍의 두 접속단계 간의 소요 시간에 대한 상기 특정 접속 패턴의 로그 건수의 분포가 정상인지 여부를 판정하는 것을 포함하는, 이상 접속 검출 장치.
  3. 청구항 2에 있어서,
    상기 판정은 상기 분포를 나타내는 그래프를 미리 설정된 정상 분포 그래프 및 미리 설정된 비정상 분포 그래프 중 적어도 하나와 비교하여 상기 분포가 정상인지 여부를 판정하는 것을 포함하는, 이상 접속 검출 장치.
  4. 청구항 2에 있어서,
    상기 로그 분석부는 또한 상기 분포를 나타내는 그래프를 디스플레이하도록 구성되는, 이상 접속 검출 장치.
  5. 청구항 2에 있어서,
    상기 두 접속단계는 상기 시스템 접속에서 순차적으로 행해진, 이상 접속 검출 장치.
  6. 청구항 1에 있어서,
    상기 로그 패턴화부는 상기 로그 데이터를 이용하여 상기 시스템 접속에 관한 로그 별로 각 접속단계를 나타내는 코드, 상기 각 접속단계의 시작 시간 및 상기 각 접속단계의 종료 시간을 나타내는 레코드를 생성하고, 상기 레코드를 이용하여 상기 복수의 접속 패턴을 식별하도록 구성되는, 이상 접속 검출 장치.
  7. 청구항 6에 있어서,
    상기 특정 접속 패턴은 상기 시스템 접속에서 순차적으로 행해진 두 접속단계를 나타내고, 상기 로그 분석부는 상기 두 접속단계의 쌍을 식별하고, 상기 두 접속단계 간의 소요 시간에 대한 상기 특정 접속 패턴의 로그 건수의 분포를 상기 레코드를 이용하여 확인하며, 상기 분포를 기반으로 상기 식별된 쌍이 상기 이상 접속단계 쌍인지 판정하여 상기 로그 분석을 수행하도록 구성되는, 이상 접속 검출 장치.
  8. 시스템 접속에 관한 로그 데이터(log data)로부터 각각 접속단계들을 나타내는 복수의 접속 패턴을 식별하도록 구성되는 로그 패턴화부; 및
    상기 복수의 접속 패턴 중에서 특정 접속단계 쌍(pair)을 나타내는 이상 접속 패턴을 검출하기 위한 로그 분석을 수행하도록 구성되는 로그 분석부를 포함하는, 이상 접속 검출 장치.
  9. 청구항 8에 있어서,
    상기 로그 분석은
    상기 복수의 접속 패턴 중에서 상기 특정 접속단계 쌍을 나타내는 접속 패턴을 식별하는 것; 및
    상기 특정 접속단계 쌍의 두 접속단계 간의 소요 시간에 대한 상기 식별된 접속 패턴의 로그 건수의 분포가 정상인지 여부를 판정하는 것을 포함하는, 이상 접속 검출 장치.
  10. 청구항 9에 있어서,
    상기 판정은 상기 분포를 나타내는 그래프를 미리 설정된 정상 분포 그래프 및 미리 설정된 비정상 분포 그래프 중 적어도 하나와 비교하여 상기 분포가 정상인지 여부를 판정하는 것을 포함하는, 이상 접속 검출 장치.
  11. 청구항 9에 있어서,
    상기 로그 분석부는 또한 상기 분포를 나타내는 그래프를 디스플레이하도록 구성되는, 이상 접속 검출 장치.
  12. 청구항 9에 있어서,
    상기 두 접속단계는 상기 시스템 접속에서 순차적으로 행해진, 이상 접속 검출 장치.
  13. 청구항 8에 있어서,
    상기 로그 패턴화부는 상기 로그 데이터를 이용하여 상기 시스템 접속에 관한 로그 별로 각 접속단계를 나타내는 코드, 상기 각 접속단계의 시작 시간 및 상기 각 접속단계의 종료 시간을 나타내는 레코드를 생성하고, 상기 레코드를 이용하여 상기 복수의 접속 패턴을 식별하도록 구성되는, 이상 접속 검출 장치.
  14. 청구항 13에 있어서,
    상기 특정 접속단계 쌍은 상기 시스템 접속에서 순차적으로 행해진 두 접속단계의 쌍이고, 상기 로그 분석부는 상기 복수의 접속 패턴 중에서 상기 특정 접속단계 쌍을 나타내는 접속 패턴을 식별하고, 상기 두 접속단계 간의 소요 시간에 대한 상기 식별된 접속 패턴의 로그 건수의 분포를 상기 레코드를 이용하여 확인하며, 상기 분포를 기반으로 상기 식별된 접속 패턴이 상기 이상 접속 패턴인지 판정하여 상기 로그 분석을 수행하도록 구성되는, 이상 접속 검출 장치.
  15. 시스템 접속에 관한 로그 데이터(log data)로부터 각각 접속단계들을 나타내는 복수의 접속 패턴을 식별하도록 구성되는 로그 패턴화부; 및
    상기 복수의 접속 패턴 중 특정 접속 패턴이 나타내는 이상 접속단계 쌍(pair)을 검출하기 위한 제1 로그 분석 및 상기 복수의 접속 패턴 중에서 특정 접속단계 쌍을 나타내는 이상 접속 패턴을 검출하기 위한 제2 로그 분석을 수행하도록 구성되는 로그 분석부를 포함하는, 이상 접속 검출 장치.
  16. 시스템 접속에 관한 로그 데이터(log data)로부터 각각 접속단계들을 나타내는 복수의 접속 패턴을 식별하는 단계; 및
    상기 복수의 접속 패턴 중 특정 접속 패턴이 나타내는 이상 접속단계 쌍(pair)을 검출하기 위한 로그 분석을 수행하는 단계를 포함하는, 이상 접속 검출 방법.
  17. 청구항 16에 있어서,
    상기 로그 분석은
    상기 특정 접속 패턴이 나타내는 접속단계 쌍을 식별하는 것; 및
    상기 식별된 접속단계 쌍의 두 접속단계 간의 소요 시간에 대한 상기 특정 접속 패턴의 로그 건수의 분포가 정상인지 여부를 판정하는 것을 포함하는, 이상 접속 검출 방법.
  18. 청구항 17에 있어서,
    상기 판정은 상기 분포를 나타내는 그래프를 미리 설정된 정상 분포 그래프 및 미리 설정된 비정상 분포 그래프 중 적어도 하나와 비교하여 상기 분포가 정상인지 여부를 판정하는 것을 포함하는, 이상 접속 검출 방법.
  19. 청구항 17에 있어서,
    상기 분포를 나타내는 그래프를 디스플레이하는 단계를 더 포함하는, 이상 접속 검출 방법.
  20. 청구항 17에 있어서,
    상기 두 접속단계는 상기 시스템 접속에서 순차적으로 행해진, 이상 접속 검출 방법.
  21. 청구항 16에 있어서,
    상기 식별하는 단계는
    상기 로그 데이터를 이용하여 상기 시스템 접속에 관한 로그 별로 각 접속단계를 나타내는 코드, 상기 각 접속단계의 시작 시간 및 상기 각 접속단계의 종료 시간을 나타내는 레코드를 생성하는 단계; 및
    상기 레코드를 이용하여 상기 복수의 접속 패턴을 식별하는 단계를 포함하는, 이상 접속 검출 방법.
  22. 청구항 21에 있어서,
    상기 특정 접속 패턴은 상기 시스템 접속에서 순차적으로 행해진 두 접속단계를 나타내고,
    상기 수행하는 단계는
    상기 두 접속단계의 쌍을 식별하는 단계;
    상기 두 접속단계 간의 소요 시간에 대한 상기 특정 접속 패턴의 로그 건수의 분포를 상기 레코드를 이용하여 확인하는 단계; 및
    상기 분포를 기반으로 상기 식별된 쌍이 상기 이상 접속단계 쌍인지 판정하여 상기 로그 분석을 수행하는 단계를 포함하는, 이상 접속 검출 방법.
  23. 시스템 접속에 관한 로그 데이터(log data)로부터 각각 접속단계들을 나타내는 복수의 접속 패턴을 식별하는 단계; 및
    상기 복수의 접속 패턴 중에서 특정 접속단계 쌍(pair)을 나타내는 이상 접속 패턴을 검출하기 위한 로그 분석을 수행하는 단계를 포함하는, 이상 접속 검출 방법.
  24. 청구항 23에 있어서,
    상기 로그 분석은
    상기 복수의 접속 패턴 중에서 상기 특정 접속단계 쌍을 나타내는 접속 패턴을 식별하는 것; 및
    상기 특정 접속단계 쌍의 두 접속단계 간의 소요 시간에 대한 상기 식별된 접속 패턴의 로그 건수의 분포가 정상인지 여부를 판정하는 것을 포함하는, 이상 접속 검출 방법.
  25. 청구항 24에 있어서,
    상기 판정은 상기 분포를 나타내는 그래프를 미리 설정된 정상 분포 그래프 및 미리 설정된 비정상 분포 그래프 중 적어도 하나와 비교하여 상기 분포가 정상인지 여부를 판정하는 것을 포함하는, 이상 접속 검출 방법.
  26. 청구항 24에 있어서,
    상기 분포를 나타내는 그래프를 디스플레이하는 단계를 더 포함하는, 이상 접속 검출 방법.
  27. 청구항 24에 있어서,
    상기 두 접속단계는 상기 시스템 접속에서 순차적으로 행해진, 이상 접속 검출 방법.
  28. 청구항 23에 있어서,
    상기 식별하는 단계는
    상기 로그 데이터를 이용하여 상기 시스템 접속에 관한 로그 별로 각 접속단계를 나타내는 코드, 상기 각 접속단계의 시작 시간 및 상기 각 접속단계의 종료 시간을 나타내는 레코드를 생성하는 단계; 및
    상기 레코드를 이용하여 상기 복수의 접속 패턴을 식별하는 단계를 포함하는, 이상 접속 검출 방법.
  29. 청구항 28에 있어서,
    상기 특정 접속단계 쌍은 상기 시스템 접속에서 순차적으로 행해진 두 접속단계의 쌍이고,
    상기 수행하는 단계는
    상기 복수의 접속 패턴 중에서 상기 특정 접속단계 쌍을 나타내는 접속 패턴을 식별하는 단계;
    상기 두 접속단계 간의 소요 시간에 대한 상기 식별된 접속 패턴의 로그 건수의 분포를 상기 레코드를 이용하여 확인하는 단계; 및
    상기 분포를 기반으로 상기 식별된 접속 패턴이 상기 이상 접속 패턴인지 판정하여 상기 로그 분석을 수행하는 단계를 포함하는, 이상 접속 검출 방법.
  30. 시스템 접속에 관한 로그 데이터(log data)로부터 각각 접속단계들을 나타내는 복수의 접속 패턴을 식별하는 단계; 및
    상기 복수의 접속 패턴 중 특정 접속 패턴이 나타내는 이상 접속단계 쌍(pair)을 검출하기 위한 제1 로그 분석 및 상기 복수의 접속 패턴 중에서 특정 접속단계 쌍을 나타내는 이상 접속 패턴을 검출하기 위한 제2 로그 분석을 수행하는 단계를 포함하는, 이상 접속 검출 방법.
  31. 하드웨어와 결합되어, 청구항 16 내지 청구항 30 중 하나에 기재된 방법을 실행시키기 위하여 저장 매체에 저장된 컴퓨터 프로그램.
KR1020140141877A 2014-10-20 2014-10-20 이상 접속 검출 장치 및 방법 KR101594701B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020140141877A KR101594701B1 (ko) 2014-10-20 2014-10-20 이상 접속 검출 장치 및 방법
PCT/KR2014/012412 WO2016064024A1 (ko) 2014-10-20 2014-12-16 이상 접속 검출 장치 및 방법
CN201410795074.9A CN105786677A (zh) 2014-10-20 2014-12-18 异常连接检测装置及方法
US14/576,725 US20160112285A1 (en) 2014-10-20 2014-12-19 Apparatus and method for detecting abnormal connection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140141877A KR101594701B1 (ko) 2014-10-20 2014-10-20 이상 접속 검출 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101594701B1 true KR101594701B1 (ko) 2016-02-16

Family

ID=55448182

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140141877A KR101594701B1 (ko) 2014-10-20 2014-10-20 이상 접속 검출 장치 및 방법

Country Status (4)

Country Link
US (1) US20160112285A1 (ko)
KR (1) KR101594701B1 (ko)
CN (1) CN105786677A (ko)
WO (1) WO2016064024A1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10514974B2 (en) * 2015-02-17 2019-12-24 Nec Corporation Log analysis system, log analysis method and program recording medium
CN109522147A (zh) * 2018-11-15 2019-03-26 Oppo广东移动通信有限公司 一种记录开机异常信息的方法、装置、存储介质及终端
CN109640053A (zh) * 2018-12-27 2019-04-16 四川九洲电器集团有限责任公司 一种采集多协议流媒体设备异常实时流方法
US11113144B1 (en) * 2020-05-31 2021-09-07 Wipro Limited Method and system for predicting and mitigating failures in VDI system
US20220417319A1 (en) * 2021-06-28 2022-12-29 Dell Products L.P. System and method for edge analytics in a virtual desktop environment

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060190592A1 (en) * 2005-01-31 2006-08-24 Japan Aerospace Exploration Agency Communications state transition monitoring method and communications state transition monitoring device utilizing the same
WO2014054854A1 (ko) * 2012-10-05 2014-04-10 Kang Myoung Hun 보안 시스템의 로그 분석 시스템 및 방법

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7437446B2 (en) * 2002-09-30 2008-10-14 Electronic Data Systems Corporation Reporting of abnormal computer resource utilization data
US20060117091A1 (en) * 2004-11-30 2006-06-01 Justin Antony M Data logging to a database
US7895167B2 (en) * 2005-02-16 2011-02-22 Xpolog Ltd. System and method for analysis and management of logs and events
JP4626852B2 (ja) * 2005-07-11 2011-02-09 日本電気株式会社 通信網の障害検出システム、通信網の障害検出方法及び障害検出プログラム
JP4257364B2 (ja) * 2007-01-24 2009-04-22 富士通株式会社 通信エラー情報出力プログラム、通信エラー情報出力方法および通信エラー情報出力装置
EP2351296A4 (en) * 2008-10-31 2015-01-07 Hewlett Packard Development Co METHOD AND DEVICE FOR DETECTING NETWORK IMPACT
JP5871192B2 (ja) * 2010-12-24 2016-03-01 日本電気株式会社 監視データ分析装置、監視データ分析方法および監視データ分析プログラム
CN102915269B (zh) * 2012-09-20 2016-07-27 浪潮软件股份有限公司 一种b/s软件系统的通用日志分析方法
JP5958348B2 (ja) * 2013-01-07 2016-07-27 富士通株式会社 分析方法、分析装置、及び分析プログラム
US9612898B2 (en) * 2013-06-03 2017-04-04 Nec Corporation Fault analysis apparatus, fault analysis method, and recording medium

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060190592A1 (en) * 2005-01-31 2006-08-24 Japan Aerospace Exploration Agency Communications state transition monitoring method and communications state transition monitoring device utilizing the same
WO2014054854A1 (ko) * 2012-10-05 2014-04-10 Kang Myoung Hun 보안 시스템의 로그 분석 시스템 및 방법

Also Published As

Publication number Publication date
US20160112285A1 (en) 2016-04-21
WO2016064024A1 (ko) 2016-04-28
CN105786677A (zh) 2016-07-20

Similar Documents

Publication Publication Date Title
KR101594701B1 (ko) 이상 접속 검출 장치 및 방법
US8799709B2 (en) Snapshot management method, snapshot management apparatus, and computer-readable, non-transitory medium
US9015006B2 (en) Automated enablement of performance data collection
US11106562B2 (en) System and method for detecting anomalies based on feature signature of task workflows
EP2769304B1 (en) Telemetry file hash and conflict detection
US11126494B2 (en) Automated, adaptive, and auto-remediating system for production environment
US10042744B2 (en) Adopting an existing automation script to a new framework
KR20090017598A (ko) 소프트웨어를 분석하기 위한 방법 및 시스템
US9003076B2 (en) Identifying anomalies in original metrics of a system
JP2007502467A5 (ko)
US20140143768A1 (en) Monitoring updates on multiple computing platforms
US20180095819A1 (en) Incident analysis program, incident analysis method, information processing device, service identification program, service identification method, and service identification device
US9811447B2 (en) Generating a fingerprint representing a response of an application to a simulation of a fault of an external service
US10210127B2 (en) Storage system cabling analysis
US20220179764A1 (en) Multi-source data correlation extraction for anomaly detection
CN107077394B (zh) 用于监视对代码集的请求的方法和系统
US8798982B2 (en) Information processing device, information processing method, and program
JP5679347B2 (ja) 障害検知装置、障害検知方法、及びプログラム
US20200327026A1 (en) Circuit-cycle reproduction
WO2018173698A1 (ja) 監視システム、コンピュータ可読記憶媒体および監視方法
Gunasekaran et al. Correlating log messages for system diagnostics
JP7207519B2 (ja) 情報処理装置、情報処理方法及びプログラム
EP2990950B1 (en) Monitoring activities of a software application
JP2017174316A (ja) 分析装置
JP2020160679A (ja) スクリプト検出装置、方法及びプログラム

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190102

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20200121

Year of fee payment: 5