KR101692982B1

KR101692982B1 - 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템

Info

Publication number: KR101692982B1
Application number: KR1020150140400A
Authority: KR
Inventors: 양중식
Original assignee: (주)아이와즈
Priority date: 2015-10-06
Filing date: 2015-10-06
Publication date: 2017-01-04
Anticipated expiration: 2035-10-06

Abstract

본 발명은 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템에 관한 것으로서, 실시간 패킷 데이터 및 로그를 수집하여 분석하는 로그 수집분석부; 특징들을 추출하여 학습을 하는 특징 학습부 및 학습된 패턴으로 인식하여 위험하다고 판단되면 시각적으로 위험상황을 알리고 자동으로 접근을 제어하는 접근제어 자동화부를 포함하는 것을 특징으로 한다.

Description

로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템{Automatic access control system of detecting threat using log analysis and automatic feature learning}

본 발명은 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템에 관한 것으로서, 상세하게는 실시간 데이터 및 로그를 수집하여 분석하고 특징을 자동 학습하여 위협을 자동으로 감지하고 접근을 자동으로 제어하는 시스템에 관한 것이다.

디도스(DDoS)는 공격 대상 네트워크나 서버에서 처리할 수 없을 정도의 데이터를 보내 더 이상의 서비스를 제공할 수 없도록 무력화시키는 악성 행위이며, 해킹은 허가받지 않은 사용자가 불법적으로 서버에 접속하여 임의로 서버를 제어하여 데이터를 복사 또는 삭제하여 피해를 야기하는 행위를 말한다.

디도스 공격을 탐지하는 종래의 기술은 시그니처(signature) 기반으로서 이미 발견되고 정립 되어진 공격 패턴을 미리 입력해 두고, 입력된 패턴에 해당하는 트래픽을 발견하게 되었을 때 이를 감지하여 알려주는 것이다. 시그니처 기반의 탐지 기법은 모니터링 한 트래픽이 알려진 악성 행위의 특징과 일치하면 이를 공격으로 탐지하여 알려주는 것이므로, 많이 알려지고 공격자가 자주 사용하는 공격 혹은 위협적이라고 알려진 공격들을 전부 탐지할 수 있다는 장점이 있으나, 알려지지 않거나 입력되어 있지 않은 새로운 패턴에 대해서는 탐지할 수 없다는 단점이 있다.

즉, 시그니처 기반의 탐지 기법들은 한 개 혹은 그 이상의 가정을 전제로 하고 있기 때문에, 그 전제를 뒤집는 형식의 공격들은 탐지가 어렵고, 사후 대응인 한계점이 있다.

특허문헌 1에 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템이 제시되어 있으나, 해킹패턴이 저장된 시그니처 DB와 비교하는 것으로 마찬가지로 새로운 공격 패턴에 대하여 대응할 수 없는 문제점을 가지고 있다.

1. 대한민국 등록특허 제10-0912794호

본 발명은 상기와 같은 문제점을 해결하고자 개발된 것으로서, 실시간으로 특징을 추출하고 타당성 분석을 하여 위험을 감지하여 접근을 자동으로 제어하는 시스템을 제공하고자 한다.

상기의 해결하고자 하는 과제를 위한 본 발명에 따른 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템은, 실시간 패킷 데이터 및 로그를 수집하여 분석하는 로그 수집분석부; 특징들을 추출하여 자동 학습을 하는 특징 학습부 및 학습된 패턴으로 인식하여 위험하다고 판단되면 시각적으로 위험상황을 알리고 자동으로 접근을 제어하는 접근제어 자동화부를 포함하는 것을 특징으로 한다.

상기 로그 수집분석부에서는 특징들의 원인과 결과의 연관성을 분석하는 것을 특징으로 한다.

상기 특징은 시스템 특징과 분석 특징을 포함하는 것을 특징으로 한다.

상기 접근제어 자동화부는 네트워크 트래픽량을 정량화하여 위험하다고 판단되는 IP 및 도메인의 접근을 차단하며, 최상위 관리자에게 시각화 및 메시지 등으로 위험도를 알려주는 것을 특징으로 한다.

상기 시각화 방법은 공간상에서 원인과 결과를 선으로 연결하거나, 공간 거리에 따라 그룹핑하거나, 자연어 처리로 5W1H(when, where, who, what, why, how)로 요약 정보를 제공하는 것을 특징으로 한다.

상기 특징 학습부는 시스템 특징과 분석 특징을 통합한 3차 정보를 가지고 5W1H 지식체계로 자동 학습하는 것을 특징으로 한다.

본 발명에 따른 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템은 로그 분석을 통해 특징들을 자동으로 학습하고, 디도스, 해경 및 시스템 부하를 스스로 감지하고 제어할 수 있다.

또한, 로그 수집분석부와 특징 학습부에서 도출된 1차/2차/3차 정보들을 시간/공간/종류/의미에 따라서 분류하여 시각화하여 인간이 쉽게 직관적으로 이해할 수 있도록 한다.

도 1은 본 발명에 따른 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템의 구성도이다.
도 2는 본 발명에 따른 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 방법의 흐름도이다.

이하, 본 발명의 실시를 위한 구체적인 실시예를 도면을 참고하여 설명한다.본 발명의 실시예는 하나의 발명을 설명하기 위한 것으로서 권리범위는 예시된 실시예에 한정되지 아니하고, 예시된 도면은 발명의 명확성을 위하여 핵심적인 내용만 확대 도시하고 부수적인 것을 생략하였으므로 도면에 한정하여 해석하여서는 아니 된다.

도 1은 본 발명에 따른 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템의 구성도로서, 운영서버는 실시간 패킷 데이터 및 로그를 수집하여 분석하는 로그 수집분석부, 특징들을 추출하여 학습을 하는 특징 학습부 및 학습된 패턴으로 인식하여 위험하다고 판단되면 시각적으로 위험상황을 알리고 자동으로 접근을 제어하는 접근제어 자동화부를 포함한다.

도 2는 본 발명에 따른 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 방법의 흐름도이다.

상기 로그 수집분석부는 실시간으로 서버에 접근하는 패킷 데이터 및 로그를 수집하여 타당성 분석을 한다. 데이터의 수집은 악성 행위가 의심되는 실행이 어떤 API나 시스템 호출(system call)을 하는지, 사용자 개인정보를 담은 파일에 접근하고 조작하는지, 데이터 네트워크를 사용하여 다운로드 받는지 혹은 원격지 서버에 접속해서 제어를 받는지 등의 여부를 실시간으로 모니터링하여 통계적으로 수집이 가능하다.

로그 수집분석부에서 수집된 로그와 분석된 로그는 로그 DB에 저장되어 특징 학습과 접근제어에 활용된다.

상기 로그 수집분석부에서 타당성 분석을 한다. 타당성은 원인과 결과가 연관성이 있는지 분석하는 것으로 특징들(features) 이용하여 확률값을 계산하여 분석한다.

시간을 기준으로 현재의 문제 상황과 비슷하게 발생하거나, 특정 문제에 의존적으로 반복하여 발생하는 사건이 탐지되었을 때, 수집된 로그 정보를 검사하여 잠정적인 1차 원인으로 판단한다.

1차 원인 정보들은 지속적인 모니터링의 대상이 되며, 실시간으로 발생하는 이벤트 로그가 수집될 때마다 발생횟수를 갱신하여, 결과에 대한 원인이 될 수 있는 확률값을 계산한다. 계산된 확률값이 임계치 이상인 정보를 대상으로 연관된 로그 정보를 추적하여 결과에 대한 원인의 타당성을 계산 및 추론이 가능하다. 타당성 검사결과 1차 원인이 위험요소가 아닌 경우 목록에서 제거하여, 실시간으로 검사하는 목록을 일정규모 이상으로 커지지 않도록 제어한다.

특징들(features)은 시스템 특징들(system features)과 분석 특징들(analysis features)로 나뉠 수 있다.

시스템 특징들이란 네트워크 트래픽량, 접근 IP나 포트(port) 및 ID나 비밀번호와 같은 접속정보, API 사용 패턴, permission 사용 패턴, system call 사용 패턴 과 사건이 발생한 시간, 공간적 위상, 트래픽이 발생한 연쇄적인 접근 지점의 위상정보 등을 포함하며, 학습을 위한 1차 정보로 사용 될 수 있다.

분석 특징들은 1차 정보를 분석하여 도출할 수 있는 2차 정보이며, 사람, 조직, 지역, 언어, 통화단위, URI(Uniform Resource Identifier), 일반적인 객체 정보 등을 말한다. 이런 분석 특징들은 일부는 사람이 모델링을 통하여 입력/관리 할 수 있으며, 일부는 시스템이 자연어처리 기술을 사용하여 자동으로 인식할 수 있다.

1차 정보와 2차 정보를 통합하면 3차 정보가 도출되며, 3차 정보는 5W1H(when, where, who, what, why, how), 즉 언제, 어디서, 누가, 무엇을, 왜, 어떻게 했는지에 대한 지식체계를 구축을 할 수 있으며, 학습을 위한 특징들(features)로 사용하여, 학습을 할 수 있으며, 학습된 이후 정보검색 및 추론에도 사용될 수 있다.

상기 특징 학습부는 특징들을 시스템 특징과 분석 특징을 통합하여 기계학습을 한다. 기계학습(machine learning)은 데이터 마이닝 또는 패턴 인식으로 이해될 수 있으며, 학습 데이터(training data)에 의해 입력으로부터 출력을 끌어내는 규칙을 발견하는 규칙기반과, 데이터들이 갖고 있는 속성들을 이용하여 그룹으로 나누는 분류하는 학습기반 기계학습이 있다. 인공지능 신경망의 진보된 형태의 딥러닝(deep learning)은 특징학습이 가능하다.

본 발명에서는 시스템 특징과 분석 특징을 통합한 3차 정보를 가지고 5W1H 지식체계로 학습을 자동으로 수행한다. 특징 학습부에서 학습된 데이터는 학습 DB에 저장되어 학습 데이터로와 접근제어에 활용된다.

상기 접근제어 자동화부는 특징들을 학습하여 위협 요소인지 판단을 하여 시각화를 통하여 경고하고 자동으로 접근을 차단한다.

네트워크 트래픽량 등을 정량화 하여 위험하다고 판단되는 IP 및 도메인의 접근을 차단하며, 최상위 관리자에게 시각화 및 메시지 등으로 위험도를 알려준다.

예를 들면 디도스 공격 시 학습된 형태에서는 TCP는 1Gbyte~2Gbyte, 수십만~수백만 PPS, HTTP는 동일한 URL 접속 시도, UDP/ICMP는 20Gbyte~30Gbyte, 수십만 PPS일 때 위험 상황이라고 경고한다.

미 학습된 위험 패턴 처리는 접근제어 자동화부에서 운영 서버 TCP 프로토콜로 같은 IP로 초당 100회 접근 발생 시 위험 상황을 경고할 수 있다.

다른 실시예로서, 특정 IP에서 DDoS 공격과 같은 과도한 접속량이 발생했을 때, 특징 학습부에서 IP, Port, 프로토콜, 시간, 접근이유, 발생횟수, 시공간 위상정보 등의 1차정보와 분석된 2차정보인 사람, 조직, 지역, 통화단위, URI, 일반적인 객체 정보를 통합하여, 인가되지 않은 컴퓨터, 사람, 조직, 지역, URI, 객체의 활동을 검사하여 위험 상황을 경고할 수 있다.

위험 상황의 정의는 시스템에 의하여 자동으로 또는 관리자가 직접 등록이 가능하며, 본 시스템의 특징은 이러한 정상/비정상/위험 상황의 정의 자체를 시스템 기존로그를 분석한 정보를 학습하여 자동으로 학습 및 탐지하는데 있다.

본 발명에서의 시각화는 로그 수집분석부와 특징 학습부에서 도출된 1차/2차/3차 정보들을 인간이 이해할 수 있도록 시간/공간/종류/의미에 따라서 분류하여 시각화하는 방법을 말한다.

1차/2차/3차 정보는 네트워크 트래픽량, 접근 IP나 포트(port) 및 ID나 비밀번호와 같은 접속정보, API 사용 패턴, permission 사용 패턴, system call 사용 패턴과 사건이 발생한 시간, 공간적 위상, 트래픽이 발생한 연쇄적인 접근 지점의 위상정보, 사람, 조직, 지역, 언어, 통화단위, URI, 일반적인 객체 정보, 5W1H정보 등을 말한다.

실시간으로 발생하는 1차/2차/3차 정보량이 너무 많고 복잡하기 때문에, 사람이 쉽게 인식할 수 없으며 한꺼번에 관리할 수 없다. 따라서 시스템이 상황/문맥/의도에 맞게 적절하게 정보를 추상화된 시각화로 처리하는 것이 필요하다.

첫 번째 시각화 방법은 시간을 축으로 사건이 발생한 1차원인과 이를 뒷받침하는 증거(결과)들을 선으로 연결하여 제시함으로서 특정 문제나 위험요소가 발생했을 때 관련 있는 이벤트 또는 원인을 직관적으로 인식할 수 있다.

두 번째 시각화 방법은 공간적으로 가까이 위치한 객체 또는 자원을 가까이 배치하여 그룹핑하여 표현함으로써, 표현해야 할 정보량을 축소하고, 연관있는 정보만을 배치함으로서 의사결정에 필요한 정보 탐색시간을 줄여준다.

세 번째 방법은 자연어처리기술의 정보 분류 기술을 사용하여 요약정보를 제공하는 것이다. 1차/2차/3차 정보들을 사람, 조직, 지역, 언어, 통화단위, 컴퓨터, 프로그램, 위상, 기타 객체 등의 정보로 분류하고 인과관계에 의한 타당성 검토 정보와 합쳐, 5W1H(when, where, who, what, why, how), 즉 언제, 어디서, 누가, 무엇을, 왜, 어떻게 했는지에 대한 최종 요약된 분석 정보를 시각화하여, 인간에게 유용한 정보만을 제시하여, 의사결정에 불필요한 정보는 제거하고, 반드시 필요한 사항에만 집중하게 해줄 수 있는 시각화 방법이다.

Claims

실시간 패킷 데이터 및 로그를 수집하여 분석하는 로그 수집분석부;
특징들을 추출하여 자동 학습을 하는 특징 학습부 및
학습된 패턴으로 인식하여 위험하다고 판단되면 시각적으로 위험상황을 알리고 자동으로 접근을 제어하는 접근제어 자동화부를 포함하되,
상기 로그 수집분석부는 수집된 로그 정보에서 반복하여 발생하는 특징들의 원인에 대응하는 결과의 연관성을 분석하고, 설정된 확률값의 연관성을 가진 특징들의 로그 정보를 추적하여 원인의 타당성을 검사하며, 위험요소의 원인이 되는 1차 정보인 시스템 특징들과 2차 정보인 분석 특징들을 선별하고,
상기 특징 학습부는 시스템 특징들과 분석 특징들의 규칙을 통합적으로 추출하여 학습하는 규칙기반 기계학습 및 시스템 특징들과 분석 특징들의 속성을 통합적으로 추출하여 학습하는 속성기반 기계학습을 통하여 3차 정보를 생성하고, 3차 정보에 기반하여 5W1H(when, where, who, what, why, how) 지식체계로 자동 학습하여 학습 정보를 생성하며,
상기 접근제어 자동화부는 네트워크 트래픽량을 정량화하여 위험하다고 판단되는 IP 및 도메인의 접근을 차단되도록 제어하고, 시각화 방법과 메시지를 이용하여 위험상황을 관리자에게 제공하며,
상기 시각화 방법은 5W1H 지식체계의 학습 정보를 요약하여 시각화하되, 공간상에서 원인과 결과를 선으로 연결하여 시각화하고, 공간 거리에 따라 그룹핑하여 시각화하여,
상기 1차 내지 3차 정보에 기초하여 위험상황을 자동적으로 감지하고, 위험상황을 직관적으로 시각화하며, 접근을 자동적으로 제어하는 것을 특징으로 하는 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템.
삭제
삭제
삭제
삭제
삭제
삭제
삭제