KR101854391B1 - 로그 검색을 이용한 단말의 보안 검사 방법 - Google Patents

로그 검색을 이용한 단말의 보안 검사 방법 Download PDF

Info

Publication number
KR101854391B1
KR101854391B1 KR1020160092826A KR20160092826A KR101854391B1 KR 101854391 B1 KR101854391 B1 KR 101854391B1 KR 1020160092826 A KR1020160092826 A KR 1020160092826A KR 20160092826 A KR20160092826 A KR 20160092826A KR 101854391 B1 KR101854391 B1 KR 101854391B1
Authority
KR
South Korea
Prior art keywords
terminal
log
analysis
security server
security
Prior art date
Application number
KR1020160092826A
Other languages
English (en)
Other versions
KR20180010550A (ko
Inventor
김범진
Original Assignee
(주)레드스톤소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)레드스톤소프트 filed Critical (주)레드스톤소프트
Priority to KR1020160092826A priority Critical patent/KR101854391B1/ko
Publication of KR20180010550A publication Critical patent/KR20180010550A/ko
Application granted granted Critical
Publication of KR101854391B1 publication Critical patent/KR101854391B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Debugging And Monitoring (AREA)

Abstract

로그 분석을 이용한 단말의 보안 검사 방법이 개시된다. 보안 서버로부터 로그 분석의 룰(rule)을 제공받는 단계; 상기 제공받은 룰을 이용하여 단말의 로그를 분석하는 단계; 상기 로그 분석 내용을 상기 보안 서버로 제공하는 단계; 상기 보안 서버로부터 심층 분석용 로그데이터 요청을 제공받는 단계; 및 상기 심층 분석용 로그 데이터를 상기 보안서버로 제공하는 단계;를 포함하는 구성될 수 있다. 상술한 로그 분석을 이용한 단말의 보안 검사 방법에 의하면, 로그 분석용 로그 데이터 전송에 따른 네트워크 부하를 절감할 수 있다. 더불어, 단말의 로그 분석 내용에 따라 선별적인 심층 분석을 수행하게 되므로, 보안 서버의 데이터베이스 용량 제약 사항 문제 및 보안 서버에 집중된 분석 처리 부담에 기인한 보안 검사의 실시간성의 부족함을 보완할 수 있다.

Description

로그 검색을 이용한 단말의 보안 검사 방법 {Method of security Inspection for terminal by using Log Searching}
본 발명은 로그 검색을 이용한 단말의 보안 검사 방법에 관한 것으로서, 더욱 상세하게는 스마트 단말의 보안 문제 발생 여부를 검사하기 위한, 로그 검색을 이용한 단말의 보안 검사 방법에 관한 것이다.
최근 널리 사용되는 스마트 디바이스는 적합한 운영체제를 탑재하여 다양한 프로그램의 지속적인 추가와 삭제 등의 기능을 제공하는 디바이스로서, 스마트폰(smart phone), 스마트 패드(Pad), 랩탑(laptop) 및 PC(Personal Computer) 등을 포함하는 장치를 말한다.
이러한 기능의 스마트 디바이스는 애플리케이션을 위한 인터페이스와 플랫폼을 제공하며, 유선 및 무선 인터넷을 이용하여 인터넷에 접속할 수 있을 뿐 아니라 스마트 디바이스 사용자가 다양한 기능의 애플리케이션을 직접 제작하거나 구매(무료 또는 유료)하여 자신이 사용하는 스마트 디바이스를 자신의 사용 패턴에 맞게 최적화시킬 수 있다는 등의 장점이 있다.
한편, 최근에 금융회사나 인터넷 쇼핑몰 등에서 스마트 디바이스용 애플리케이션을 출시함에 따라, 스마트 디바이스를 이용한 금융거래나 인터넷쇼핑 거래가 급격하게 증가하고 있는 바, 스마트 디바이스에 각종 중요한 개인정보가 저장되고 있다.
위와 같이 스마트 디바이스에 포함된 중요한 개인정보 저장이 증가하고, 스마트 디바이스의 사용이 증가함에 따라, 스마트 디바이스를 타겟으로 하는 악성코드 또한 급격히 증가하고 있으며, 악성코드의 공격 수법도 다양해지고 있다.
예컨대, 모바일 바이러스, 웜, 트로이목마, 스파이웨어와 같은 악성코드가 수없이 많이 제작되어 유포되고 있는데, 이러한 악성코드의 유포는 곧 스마트 디바이스의 개인정보 유출과 금융거래의 피해로 이어지게 된다. 따라서, 스마트 디바이스에서 악성코드를 탐지하는 보안 방법이 필요하게 되었다.
종래 악성코드 탐지방법은 전통적인 PC의 악성코드 탐지 방법을 그대로 이용하여, 스마트 디바이스에서 이미 실행중인 애플리케이션에 대해 프로세스 리스트를 주기적으로 검사하여 악성코드를 탐지한다. 이러한 악성코드 탐지 방법은 악성코드가 실행되는 시점에 정확하게 탐지하지 못하는 문제점이 있으며 또한 지속적으로 실행중인 모든 프로세스를 지정된 시간마다 검사하므로 스마트 디바이스의 성능 저하 및 배터리 소모에 상당한 영향을 미치는 문제점이 있었다.
또한, 스마트 디바이스에 처음 설치되어 그 정보가 수집되지 않은 애플리케이션에 대해서는, 해당 애플리케이션에 대한 정보가 수집되기 전에는 그 실행시점을 검출할 수 없는 문제점이 있다.
이러한 문제를 해결하기 위해, 대한민국 공개특허 제10-2015-0052387호, "모바일 단말의 악성 프로세스 실행 탐지 시스템 및 방법"에서는 운영체제 상에서 실행중인 프로세스 정보를 수집하여 수집된 프로세스의 악성코드 여부를 진단하고 실행 프로세스 목록에 저장하며, 로그 관리기로부터 입력되는 로그데이터(log data)로부터 프로세스 정보를 수집하여 실행 프로세스 목록을 업데이트하고, 신규 실행된 프로세스를 검출하여 악성코드 여부를 진단하여, 스마트 디바이스에 신규로 설치되어 실행되는 악성 프로세스도 검출할 수 있는 방법을 제시하고 있다.
한편, 스마트 디바이스에서 많은 로그가 발생되며, 발생된 로그 중에는 보안 침입이 발생하기 전에 침해 사고 발생을 경고 또는 암시하는 정보를 포함하는 로그가 있다. 이러한 로그를 사전에 검색하고, 분석할 수 있다면 관리자는 침해 사고가 발생하기 전에 파악할 수 있기 때문에, 로그 분석이 악성 코드를 탐지하기 위한 다른 방법으로 사용되고 있다.
그러나, 기존의 모니터링 대상 스마트 디바이스의 로그를 보안 서버로 전송하여서 하나의 데이터베이스에 저장하기 때문에, 이곳에서 검색하는 시스템은 로그의 전송에 따른 부하와 데이터베이스의 용량의 제약 사항 때문에 검색의 실시간 성이 부족한 문제점을 갖고 있다.
한국공개특허 제10-2015-0052387호 (공개일: 2015.05.14)
전술한 문제점을 해결하기 위한 본 발명의 목적은, 로그의 전송에 따른 부하를 최소화할 수 있으며, 데이터베이스의 용량의 제약 사항 때문에 검색의 실시간 성의 부족함을 보완할 수 있는 스마트 단말의 보안 문제 발생 여부를 검사하기 위한, 로그 검색을 이용한 단말의 보안 검사 방법을 제공하는 것이다.
전술한 목적을 달성하기 위한 본 발명에 따른 로그 검색을 이용한 단말의 보안 검사 방법은 보안 서버로부터 로그 분석의 룰(rule)을 제공받는 단계, 상기 제공받은 룰을 이용하여 단말의 로그를 분석하는 단계, 상기 로그 분석 내용을 상기 보안 서버로 제공하는 단계, 상기 보안 서버로부터 심층 분석용 로그데이터 요청을 제공받는 단계 및 상기 심층 분석용 로그 데이터를 상기 보안서버로 제공하는 단계를 포함하는 것일 수 있다.
여기에서, 상기 제공받은 룰을 이용하여 단말의 로그를 분석하는 단계는 미리 정해진 시간 단위 및 상기 보안 서버의 요청 중 어느 하나에 따라 로그를 분석하는 것일 수 있다.
여기에서, 상기 심층 분석용 로그 데이터는 로그 데이터를 시작시간과 종료시간으로 범위를 정한 것일 수 있다.
전술한 목적을 달성하기 위한 본 발명에 따른 로그 검색을 이용한 단말의 보안 검사 방법은 단말로 로그 분석 룰(rule)을 제공하는 단계, 상기 단말로부터 로그 분석 내용을 제공받는 단계, 상기 제공받은 로그 분석 내용에 기초하여 심층 분석 여부를 결정하는 단계, 상기 단말로 심층 분석용 로그 데이터 요청을 제공하는 단계, 상기 단말로부터 상기 심층 분석용 로그 데이터를 제공받는 단계 및 상기 심층 분석용 로그 데이터를 이용하여 보안 검사를 수행하는 단계를 포함하는 것일 수 있다.
여기에서, 상기 단말로 심층 분석용 로그 데이터 요청을 제공하는 단계는 상기 심층 분석 여부를 결정하는 단계에서 심층 분석이 필요하다고 결정된 경우에 상기 단말로 심층 분석용 로그 데이터 요청을 제공하는 것일 수 있다.
여기에서, 상기 심층 분석용 로그 데이터를 이용하여 보안 검사를 수행하는 단계는 상기 심층 분석용 로그 데이터에 미리 알려지지 않은 로그 내용의 존재여부를 판단하는 것일 수 있다.
전술한 목적을 달성하기 위한 본 발명에 따른 로그 검색을 이용한 단말의 보안 검사 방법은 보안 서버로부터 로그 분석의 룰(rule)을 제공받는 단계, 상기 제공받은 룰을 단말로 제공하는 단계, 상기 단말로부터 로그 분석 내용을 제공받는 단계, 상기 제공받은 로그 분석 내용을 상기 보안 서버로 제공하는 단계, 상기 보안 서버로부터 심층 분석용 로그 데이터 요청을 제공받는 단계, 상기 심층 분석용 로그 데이터 요청을 상기 분석 대상 단말로 제공하는 단계, 상기 단말로부터 상기 심층 분석용 로그 데이터를 제공받는 단계 및 상기 심층 분석용 로그 데이터를 상기 보안 서버로 제공하는 단계를 포함하는 것일 수 있다.
여기에서, 상기 단말은 적어도 하나일 수 있으며, 상기 단말 정보를 저장한 메모리 영역을 더 포함하는 것일 수 있다.
본 발명에 의하면, 단말에서 로그 분석 룰을 이용하여 로그 분석을 수행하므로, 모든 단말의 모든 로그 데이터 전송에 따른 네트워크 부하를 절감할 수 있다. 또한, 관리 단말을 이용하여, 모든 단말로의 명령 전송을 하지 않으므로 네트워크 부하를 절감할 수 있다.
더불어, 단말의 로그 분석 내용에 따라, 보안 서버에서의 심층 분석 여부를 결정하고, 선별적인 심층 분석을 수행하게 되므로, 보안 서버의 데이터베이스 용량 제약 사항 문제 및 보안 서버에 집중된 분석 처리 부담에 기인한 보안 검사의 실시간성의 부족함을 보완할 수 있다.
도 1은 본 발명의 일 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법을 설명하기 위한 흐름도이다.
도 2는 본 발명의 일 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법을 설명하기 위한 구성도이다.
도 4는 본 발명의 일 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법의 흐름을 설명하기 위한 개략도이다.
도 5는 본 발명의 다른 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법을 설명하기 위한 흐름도이다.
도 6은 본 발명의 다른 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법을 설명하기 위한 구성도이다.
도 7은 본 발명의 다른 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법의 흐름을 설명하기 위한 개략도이다.
이하, 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다.
본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 동일 또는 유사한 구성요소에 대해서는 동일한 참조 부호를 붙이도록 한다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우 뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
어느 부분이 다른 부분의 "위에" 있다고 언급하는 경우, 이는 바로 다른 부분의 위에 있을 수 있거나 그 사이에 다른 부분이 수반될 수 있다. 대조적으로 어느 부분이 다른 부분의 "바로 위에" 있다고 언급하는 경우, 그 사이에 다른 부분이 수반되지 않는다.
제1, 제2 및 제3 등의 용어들은 다양한 부분, 성분, 영역, 층 및/또는 섹션들을 설명하기 위해 사용되나 이들에 한정되지 않는다. 이들 용어들은 어느 부분, 성분, 영역, 층 또는 섹션을 다른 부분, 성분, 영역, 층 또는 섹션과 구별하기 위해서만 사용된다. 따라서, 이하에서 서술하는 제1 부분, 성분, 영역, 층 또는 섹션은 본 발명의 범위를 벗어나지 않는 범위 내에서 제2 부분, 성분, 영역, 층 또는 섹션으로 언급될 수 있다.
여기서 사용되는 전문 용어는 단지 특정 실시예를 언급하기 위한 것이며, 본 발명을 한정하는 것을 의도하지 않는다. 여기서 사용되는 단수 형태들은 문구들이 이와 명백히 반대의 의미를 나타내지 않는 한 복수 형태들도 포함한다. 명세서에서 사용되는 "포함하는"의 의미는 특정 특성, 영역, 정수, 단계, 동작, 요소 및/또는 성분을 구체화하며, 다른 특성, 영역, 정수, 단계, 동작, 요소 및/또는 성분의 존재나 부가를 제외시키는 것은 아니다.
"아래", "위" 등의 상대적인 공간을 나타내는 용어는 도면에서 도시된 한 부분의 다른 부분에 대한 관계를 보다 쉽게 설명하기 위해 사용될 수 있다. 이러한 용어들은 도면에서 의도한 의미와 함께 사용 중인 장치의 다른 의미나 동작을 포함하도록 의도된다. 예를 들면, 도면 중의 장치를 뒤집으면, 다른 부분들의 "아래"에 있는 것으로 설명된 어느 부분들은 다른 부분들의 "위"에 있는 것으로 설명된다. 따라서 "아래"라는 예시적인 용어는 위와 아래 방향을 전부 포함한다. 장치는 90˚ 회전 또는 다른 각도로 회전할 수 있고, 상대적인 공간을 나타내는 용어도 이에 따라서 해석된다.
다르게 정의하지는 않았지만, 여기에 사용되는 기술용어 및 과학용어를 포함하는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 일반적으로 이해하는 의미와 동일한 의미를 가진다. 보통 사용되는 사전에 정의된 용어들은 관련 기술문헌과 현재 개시된 내용에 부합하는 의미를 가지는 것으로 추가 해석되고, 정의되지 않는 한 이상적이거나 매우 공식적인 의미로 해석되지 않는다.
이하, 첨부한 도면을 참조하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다.
도 1 및 도2는 본 발명의 일 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법을 설명하기 위한 흐름도이다.
도 1을 참고하면, 본 발명의 일 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법은 보안 서버로부터 로그 분석의 룰(rule)을 제공받는 단계(S110), 상기 제공받은 룰을 이용하여 단말의 로그를 분석하는 단계(S120), 상기 로그 분석 내용을 상기 보안 서버로 제공하는 단계(S130), 상기 보안 서버로부터 심층 분석용 로그데이터 요청을 제공받는 단계(S140) 및 상기 심층 분석용 로그 데이터를 상기 보안 서버로 제공하는 단계(S150)를 포함하여 구성될 수 있다.
여기에서, 보안 서버로부터 로그 분석의 룰(rule)을 제공받는 단계(S110)는 보안 관리를 수행하는 보안 서버로부터 단말이 로그 분석의 룰(rule)을 제공받는 것을 의미하며, 상기 로그 분석의 룰은 보안 관리 서버에 의하여 생성, 추가, 삭제 및 수정될 수 있는 것으로, 개별 단말에서 효율적인 로그 분석을 수행하기 위한 규칙을 의미한다.
상기 제공받은 룰을 이용하여 단말의 로그를 분석하는 단계(S120)는 보안 서버에 의하여 생성된 룰을 전달받아, 이 룰을 기준으로 자신(단말)의 로그를 분석하는 것을 의미한다.
여기에서, 상기 제공받은 룰을 이용하여 단말의 로그를 분석하는 단계(S120)는 미리 정해진 시간 단위 및 상기 보안 서버의 요청 중 어느 하나에 따라 로그를 분석하는 것일 수 있다. 일반적인 방법으로 보안 서버와 단말간에 시간의 동기화를 설정한 후, 미리 정해진 시간, 예를 들면, 1시간 단위, 30분 단위, 15분 단위 등으로 단말의 로그 분석을 수행할 수 있으며, 특별하게는 보안 서버의 요청에 의하여 긴급하게 단말의 로그 분석을 수행할 수도 있을 것이다.
보안 서버의 요청이 요구되는 경우는 보안 경보 등급이 상향되어 긴급하게 단말의 보안 검사가 필요한 경우, 긴급한 금융사의 해킹 위험 방어에 대한 요청이 있는 경우 등이 있을 수 있다.
여기에서, 상기 심층 분석용 로그 데이터는 로그 데이터를 시작시간과 종료시간으로 범위를 정한 것일 수 있다. 일반적으로, 디바이스의 로그는 시간에 따른 이벤트를 계속적으로 저장하는 것이므로, 로그의 분석은 분석을 위한 시작 지점과 종료 지점이 존재해야 한다. 즉, 시작 지점과 종료 지점을 시간 단위로 지정할 수 있으며, 특히, 시작시간과 종료시간으로 지정하는 방법이 바람직할 것이다.
또한, 상기 로그 분석 내용을 상기 보안 서버로 제공하는 단계(S130)는 보안 서버에서 제공한 로그 분석 룰을 이용한 로그 분석 내용을 보안 서버로 전달하는 것일 수 있다. 즉, 보안 서버에서 1차적인 로그 분석의 중간 결과를 보안 서버로 전달하는 것일 수 있다.
상기 보안 서버로부터 심층 분석용 로그데이터 요청을 제공받는 단계(S140)는 보안 서버에서 로그 분석 내용을 검토한 결과, 추가적인 심층 분석이 필요하다고 판단된 경우에 수행될 수 있는 단계이며, 1차적인 로그 분석의 중간 결과를 토대로 심층 분석의 범위 등을 지정하여 단말로 요청하는 것일 수 있다.
상기 심층 분석용 로그 데이터를 상기 보안 서버로 제공하는 단계(S150)는 보안 서버의 요청에 응답하는 것으로, 심층 분석의 대상이 되는 로그 데이터를 보안 서버가 요청한 범위에 해당되는 데이터를 분리하여 보안 서버로 제공하는 것일 수 있다. 이후에는 보안 서버에서 심층 분석 대상 로그 데이터를 심층 분석하는 과정이 진행 될 수 있을 것이다.
도 2를 참고하면, 본 발명의 일 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법은 단말로 로그 분석 룰(rule)을 제공하는 단계(S210), 상기 단말로부터 로그 분석 내용을 제공받는 단계(S220), 상기 제공받은 로그 분석 내용에 기초하여 심층 분석 여부를 결정하는 단계(S230), 상기 단말로 심층 분석용 로그 데이터 요청을 제공하는 단계(S240), 상기 단말로부터 상기 심층 분석용 로그 데이터를 제공받는 단계(S250) 및 상기 심층 분석용 로그 데이터를 이용하여 보안 검사를 수행하는 단계(S260)를 포함하는 것일 수 있다. 이것은 단말의 입장이 아닌 보안 서버의 입장에서 로그 검색을 이용한 단말의 보안 검사 방법을 설명하는 것에 해당될 수 있을 것이다.
상기 단말로 로그 분석 룰(rule)을 제공하는 단계(S210)는 보안 서버에서 생성한 로그 분석 룰을 단말로 제공하는 것으로, 상기 로그 분석 룰(rule)은 보안 서버에서 분석한 보안 검사 이력을 종합하여, 효율적인 로그 분석에 필요한 룰을 정의한 것일 수 있다.
상기 단말로부터 로그 분석 내용을 제공받는 단계(S220)는 보안 서버가 제공한 룰에 기초하여 단말이 수행한 로그 분석 내용을 전달받는 것으로, 전달 받은 로그 분석 내용을 이용하여 추가 보안 검사의 필요성이 없다면, 1차 보안 검사가 수행 종료되는 것으로 볼 수 있을 것이다. 다만, 로그 분석 내용을 검토하여, 심층 분석이 필요하다고 판단되는 경우에는 해당 단말에 대하여 심층 분석용 로그 데이터를 요청하게 될 수 있다. 이러한 로그 분석 내용의 검토는 상기 제공받은 로그 분석 내용에 기초하여 심층 분석 여부를 결정하는 단계(S230)에서 수행될 수 있을 것이다.
상기 단말로 심층 분석용 로그 데이터 요청을 제공하는 단계(S240)는 상기 심층 분석 여부를 결정하는 단계(S230)에서 심층 분석이 필요하다고 결정된 경우에 상기 단말로 심층 분석용 로그 데이터 요청을 제공하는 것일 수 있다. 즉, 단말로부터 제공받은 로그 분석 내용에 따라, 추가적인 보안 검사 없이 보안 검사가 종료되어, 네트워크 부하를 절감할 수 있는 반면에, 추가적인 심층 분석이 필요하다고 판단되는 경우에는 네트워크 부하 절감보다 완벽한 보안 검사가 우선시 되어야 하므로, 심층 분석용 로그 데이터를 요청하게 되는 것이다.
상기 단말로부터 상기 심층 분석용 로그 데이터를 제공받는 단계(S250)는 상기 보안 서버의 요청으로 단말로부터 요청에 따른 심층 분석이 필요한 로그 데이터를 제공받는 것으로, 제공받은 로그 데이터를 이용하여 이후 단계를 진행할 수 있을 것이다.
상기 심층 분석용 로그 데이터를 이용하여 보안 검사를 수행하는 단계(S260)는 단말의 로그 데이터에 대한 심층 분석을 수행하는 것으로, 이것은 일반적인 보안 서버가 수행하는 보안 검사를 모두 포함하는 것으로 이해될 수 있을 것이다. 추가적으로, 상기 심층 분석용 로그 데이터에 미리 알려지지 않은 로그 내용의 존재여부를 판단하는 것일 수 있을 것이다. 이것은 새로 생성된 보안 이슈 등의 존재 때문에 수반되는 동작으로 이해할 수 있을 것이다.
도 3은 본 발명의 일 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법을 설명하기 위한 구성도이며, 도 4는 본 발명의 일 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법의 흐름을 설명하기 위한 개략도이다.
도 1, 도2, 도 3 및 도4을 함께 참조하면, 보안 서버와 N개의 단말로 구성된 네트워크를 고려할 때, 일반적인 보안 검사와 마찬가지인 방법을 생각해보면, 보안 서버에서 모든 단말에게 전체 로그 데이터를 요청하고, 수신한 모든 단말의 전체 로그 데이터를 보안 검사 수행하게 될 것이다. 이에 비하여, 본 발명의 일 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법은 1차적인 보안 검사와 2차적인 보안 검사로 구분하여 수행되므로, 1차적인 보안 검사에서 검사 종료되는 경우를 고려하면, 네트워크 부하가 현저하게 감소될 수 있음을 예상할 수 있다.
다시 살펴보면, 보안 서버에서는 각각의 단말에 룰(rule)을 제공하여, 보안 서버에서 수행하던 보안 검사의 일부를 각각의 단말로 분배하게 되며, 각각의 단말에서 자신의 로그를 직접 보안 검사하게 되므로, 네트워크를 이용하지 않고 1차적인 보안 검사를 수행하게 되는 것이다.
더불어, 1차적인 보안 검사의 내용(결과)을 각각의 단말이 보안 서버에게 제공하게 되므로, 보안 서버에서 통일적인 단말의 보안 관리가 가능할 것이며, 심층 분석의 필요가 있다고 판단되는 개별 단말에 대해서만, 심층 분석용 로그 데이터의 요청이 진행될 수 있을 것이다. 이 경우에도 심층 분석용 로그 데이터의 시작지점과 종료지점을 명확하게 함으로써 필요하지 않은 로그 데이터의 수집을 최소화할 수 있을 것이다. 또한, 개별 단말에서 심층 분석용 로그 데이터를 보안 서버로 제공하게 되면, 보안 서버에서 로그 데이터에 대한 일반적인 보안 검사를 수행할 수 있을 것이다.
본 발명의 일 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법은 네트워크 부하를 감소시킬 수 있고, 보안 검사의 부하를 분담하여 수행하기 때문에 보안 검사에서 꼭 필요하다고 인정되는 이상 징후의 파악에 대한 실시간성을 확보할 수 있을 것이다.
도 5는 본 발명의 다른 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법을 설명하기 위한 흐름도이다.
도 5를 참조하면, 본 발명의 다른 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법은 보안 서버로부터 로그 분석의 룰(rule)을 제공받는 단계(S310), 상기 제공받은 룰을 단말로 제공하는 단계(S320), 상기 단말로부터 로그 분석 내용을 제공받는 단계(S330), 상기 제공받은 로그 분석 내용을 상기 보안 서버로 제공하는 단계(S340), 상기 보안 서버로부터 심층 분석용 로그 데이터 요청을 제공받는 단계(S350), 상기 심층 분석용 로그 데이터 요청을 상기 분석 대상 단말로 제공하는 단계(S360), 상기 단말로부터 상기 심층 분석용 로그 데이터를 제공받는 단계(S370) 및 상기 심층 분석용 로그 데이터를 상기 보안 서버로 제공하는 단계(S380)를 포함하는 것일 수 있다.
상기 보안 서버로부터 로그 분석의 룰(rule)을 제공받는 단계(S310) 및 상기 제공받은 룰을 단말로 제공하는 단계(S320)는 보안 서버로부터 제공받은 로그 분석의 룰(rule)을 단말로 전달하는 것일 수 있다. 여기에서 상기 로그 분석의 룰은 보안 서버에서 생성, 추가, 삭제 및 수정될 수 있을 것이다.
상기 단말로부터 로그 분석 내용을 제공받는 단계(S330) 및 상기 제공받은 로그 분석 내용을 상기 보안 서버로 제공하는 단계(S340)는 상기 로그 분석의 룰에 따라 단말에서 수행된 로그 분석 내용을 전달받아 보안 서버에게 전달하는 것일 수 있다.
상기 보안 서버로부터 심층 분석용 로그 데이터 요청을 제공받는 단계(S350) 및 상기 심층 분석용 로그 데이터 요청을 상기 분석 대상 단말로 제공하는 단계(S360)는 보안 서버에서 개별 단말의 로그 분석 내용을 검토하여, 심층 분석이 필요하다고 판단되는 경우에 해당 단말에 대하여 심층 분석용 로그 데이터를 요청하는 것일 수 있다.
상기 단말로부터 상기 심층 분석용 로그 데이터를 제공받는 단계(S370) 및 상기 심층 분석용 로그 데이터를 상기 보안 서버로 제공하는 단계(S380)는 심층 분석이 필요하다고 판단된 단말로부터 심층 분석용 로그 데이터를 전달받아 보안 서버에게 전달하는 것일 수 있다. 여기에서 전달된 심층 분석용 로그 데이터를 보안 서버에서 보안 검사할 수 있을 것이다.
한편, 본 발명의 다른 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법에서 상기 단말은 적어도 하나일 수 있으며, 상기 단말 정보를 저장한 메모리 영역을 더 포함하는 관리 단말이 존재할 수 있을 것이다.
도 6은 본 발명의 다른 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법을 설명하기 위한 구성도이다. 도 7은 본 발명의 다른 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법의 흐름을 설명하기 위한 개략도이다.
도 5, 도 6 및 도 7을 함께 참조하면, 본 발명의 다른 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법은 보안 서버, N개의 관리 단말 및 각각의 관리 단말 하에 M개로 구성된 네트워크를 고려하여 이해할 수 있을 것이다.
이때, 보안 서버는 단말에 대한 로그 수집 명령 하달 및 수집의 주체의 역할을 수행할 수 있으며, 단말들 및 관리 단말들의 정보 저장을 위한 저장공간을 포함하고 있을 것이다.
단말은 로그 수집 대상이 되는 일반 PC 및 모바일 장치 등 다양한 대상 디바이스가 단말이 될 수 있으며, 단말간 정보 교환은 UDP를 사용할 수 있고, 1:1 및 1:n 교신이 가능하며 단말은 구동 후 1:n 교신을 통해 관리 단말의 정보를 획득할 수 있다. 모든 단말은 기동 후 보안 서버로부터 매번 변경되는 일시 인증번호를 받고 동일 네트워크에서 기동된 순서대로 정해진 개수만큼 관리 단말의 역할을 수행할 수 있다.
또한, 단말은 관리 단말에 상시 지속적인 TCP 연결을 맺을 수 있고, 정의된 관리 단말의 수보다 적은 개수로 구성된 네트워크 내 단말들은 모두 관리 단말을 통하여 보안 서버에 연결될 수 있다. 단말은 관리 단말로부터 명령을 하달 받고 관리 단말에게 수집된 결과를 전달한다.
한편 각각의 단말에 대한 정보를 관리할 필요성이 있는데, 예를 들어 설명하면, 각각의 단말에 대한 정보(단말 정보 테이블)는 동일 네트워크 내 단말들의 인증 시 받은 인증 번호를 키로 구성된 정보, 회사 조직도상의 조직 정보 그 외 수집 대상이 되는 로그의 항목 정보들을 가변적으로 담고 있는 단말들의 정보 목록일 수 있으며, 단말에 대한 정보(단말 정보 테이블)는 관리 단말에 의해 관리되며, 단말은 관리 단말에 접속 후 단말에 대한 정보(단말 정보 테이블)의 구성 요소 목록을 받고 자신의 값들을 관리 단말에게 전달하게 된다.
단말에 대한 정보(단말 정보 테이블)는 대상이 되는 단말들에게만 명령을 전달하는 필터 역할을 하여, 불필요한 명령이 네트워크 상에 전달되는 것을 방지하는 기능을 수행할 수 있다.
관리 단말은 보안 서버의 역할을 수행 하는 단말로서 모든 단말들은 필요에 따라 관리 단말의 역할을 수행할 수 있다. 동일 네트워크 상 N개의 관리 단말로 구성될 수 있으며, 적은 수의 단말로만 구성된 경우 모든 단말들은 서버와 직접 연결될 수 있다. 여기에서, 동일 네트워크 내 단말 및 관리 단말의 개수는 보안 서버의 설정에 의해 변경 가능하다.
단말에 대한 정보(단말 정보 테이블)에 기술된 인증 번호 순으로 관리 단말이 선정되며 선정된 관리 단말이 동작 불가한 상황이 되는 경우에는 다음 인증 번호를 가진 단말이 관리 단말로 변경될 수 있다. 관리 단말은 보안 서버와 상시 지속적인 TCP 연결을 맺고, 보안 서버와의 지속적인 연결을 이용하여 관리 단말의 네트워크 환경, 즉, 관리 단말이 NAT(Network Address Translation) 내에 존재하는 환경과 무관하게 필요한 경우에 즉시 명령 하달 및 수집을 실시간으로 수행 가능하다. 여기에서, 서버는 모든 단말이 아닌 관리 단말들만 연결 관리하여 보안 서버의 중앙처리장치(CPU) 및 메모리(Memory) 사용량을 줄이고 반응 속도를 높일 수 있다.
더불어, 서버는 관리 단말들에게 명령을 하달하고, 관리 단말이 자신에게 연결된 모든 단말들에게 명령을 전달한다. 서버는 소수의 관리 단말들에게만 명령을 하달하여도 전체 모든 단말들에게 명령이 전달될 수 있으므로 고속 명령 하달이 가능하다. 관리 단말은 연결된 단말들의 수집된 정보를 취합하고 서버가 필요로 하는 자료 구조를 구성하여 서버에 전송하므로, 서버의 처리 비용을 줄이고 고속 수집이 가능하다. 또한 대용량 처리가 가능한 특징이 있다.
보안 서버, N개의 관리 단말 및 각각의 관리 단말 하에 M개로 구성된 네트워크를 고려할 때, 본 발명의 다른 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법은 보안 서버와 단말 사이에 관리 단말을 배치하여, 보다 효율적인 네트워크 자원 관리와 효율적인 시간 관리가 가능해 질 수 있다.
보안 서버에서는 각각의 관리 단말에 룰(rule)을 제공하고, 관리 단말은 각각의 단말들에게 룰을 전단한다. 이를 통하여 보안 서버에서 수행하던 보안 검사의 일부를 각각의 단말이 룰을 이용하여 수행하게 되므로, 네트워크를 부하를 절감하면서 1차적인 보안 검사를 수행하게 되는 것이다.
더불어, 1차적인 보안 검사의 내용(결과)을 각각의 단말이 관리 단말을 통하여 보안 서버에게 제공하게 되므로, 보안 서버에서 통일적인 단말의 보안 관리가 가능할 것이며, 심층 분석의 필요가 있다고 판단되는 개별 단말에 대해서만, 심층 분석용 로그 데이터의 요청이 진행될 수 있을 것이다. 이 경우에도 심층 분석 로그 데이터의 요청은 관리 단말을 통하여 진행될 수 있을 것이며, 심층 분석용 로그 데이터의 시작지점과 종료지점을 명확하게 함으로써 필요하지 않은 로그 데이터의 수집 및 네트워크 부하를 최소화할 수 있을 것이다.
더불어, 개별 단말에서 심층 분석용 로그 데이터를 보안 서버로 제공하게 되면, 보안 서버에서 로그 데이터에 대한 일반적인 보안 검사를 수행할 수 있다. 본 발명의 실시예에 따른 로그 검색을 이용한 단말의 보안 검사 방법은 보안 서버, 관리 단말 및 단말로 계층적인 구성을 이용하므로, 네트워크 부하를 감소시킬 수 있고, 보안 검사의 부하를 분담하여 수행하기 때문에 보안 검사에서 꼭 필요하다고 인정되는 이상 징후의 파악에 대한 실시간성을 확보할 수 있으므로, 실시간 대응이 가능하도록 하는 전제 조건으로 작용할 수 있을 것이다.
본 발명이 속하는 기술 분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있으므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (8)

  1. 보안 서버에서 관리 단말로 로그 분석 룰(rule)을 제공하는 단계;
    상기 관리 단말에서 보안 서버로부터 로그 분석의 룰(rule)을 제공받아 단말로 제공하는 단계;
    상기 단말에서 상기 관리 단말로부터 로그 분석의 룰(rule)을 제공받는 단계;
    상기 단말에서 상기 제공받은 룰을 이용하여 단말의 로그를 분석하는 단계;
    상기 단말에서 상기 로그 분석 내용을 상기 관리 단말로 제공하는 단계;
    상기 관리 단말에서 상기 단말로부터 로그 분석 내용을 제공받아 상기 보안 서버로 제공하는 단계;
    상기 보안 서버에서 상기 관리 단말로부터 로그 분석 내용을 제공받는 단계;
    상기 보안 서버에서 상기 제공받은 로그 분석 내용에 기초하여 심층 분석 여부를 결정하는 단계;
    상기 보안 서버에서 심층 분석이 필요하다고 결정된 경우에 상기 관리 단말로 심층 분석용 로그 데이터 요청을 제공하는 단계;
    상기 관리 단말에서 상기 보안 서버로부터 심층 분석용 로그 데이터 요청을 제공받아 상기 단말로 제공하는 단계;
    상기 단말에서 상기 관리 단말로부터 심층 분석용 로그데이터 요청을 제공받는 단계;
    상기 단말에서 상기 심층 분석용 로그 데이터를 상기 관리 단말로 제공하는 단계;
    상기 관리 단말에서 상기 단말로부터 상기 심층 분석용 로그 데이터를 제공받아 상기 보안 서버로 제공하는 단계;
    상기 보안 서버에서 상기 관리 단말로부터 상기 심층 분석용 로그 데이터를 제공받는 단계; 및
    상기 보안 서버에서 상기 심층 분석용 로그 데이터를 이용하여 보안 검사를 수행하는 단계;
    를 포함하며,
    상기 단말에서 상기 제공받은 룰을 이용하여 단말의 로그를 분석하는 단계는 미리 정해진 시간 단위 및 상기 보안 서버의 요청 중 어느 하나에 따라 로그를 분석하는 것이며,
    상기 심층 분석용 로그 데이터는 로그 데이터를 시작시간과 종료시간으로 범위를 정한 것이며,
    상기 보안 서버에서 상기 심층 분석용 로그 데이터를 이용하여 보안 검사를 수행하는 단계는 상기 심층 분석용 로그 데이터에 미리 알려지지 않은 로그 내용의 존재여부를 판단하는 것이며,
    상기 단말은 적어도 하나일 수 있는 로그 분석을 이용한 단말의 보안 검사 방법.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 삭제
KR1020160092826A 2016-07-21 2016-07-21 로그 검색을 이용한 단말의 보안 검사 방법 KR101854391B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160092826A KR101854391B1 (ko) 2016-07-21 2016-07-21 로그 검색을 이용한 단말의 보안 검사 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160092826A KR101854391B1 (ko) 2016-07-21 2016-07-21 로그 검색을 이용한 단말의 보안 검사 방법

Publications (2)

Publication Number Publication Date
KR20180010550A KR20180010550A (ko) 2018-01-31
KR101854391B1 true KR101854391B1 (ko) 2018-05-04

Family

ID=61083274

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160092826A KR101854391B1 (ko) 2016-07-21 2016-07-21 로그 검색을 이용한 단말의 보안 검사 방법

Country Status (1)

Country Link
KR (1) KR101854391B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011233126A (ja) * 2010-04-28 2011-11-17 Electronics And Telecommunications Research Institute 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法
KR20150052387A (ko) * 2013-11-04 2015-05-14 주식회사 잉카인터넷 모바일단말의 악성 프로세스 실행 탐지 시스템 및 방법
KR101602881B1 (ko) * 2015-01-19 2016-03-21 한국인터넷진흥원 분석 회피형 악성 코드 탐지 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011233126A (ja) * 2010-04-28 2011-11-17 Electronics And Telecommunications Research Institute 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法
KR20150052387A (ko) * 2013-11-04 2015-05-14 주식회사 잉카인터넷 모바일단말의 악성 프로세스 실행 탐지 시스템 및 방법
KR101602881B1 (ko) * 2015-01-19 2016-03-21 한국인터넷진흥원 분석 회피형 악성 코드 탐지 시스템 및 방법

Also Published As

Publication number Publication date
KR20180010550A (ko) 2018-01-31

Similar Documents

Publication Publication Date Title
US11086983B2 (en) System and method for authenticating safe software
RU2589310C2 (ru) Система и способ расчета интервала повторного определения категорий сетевого ресурса
KR20160140316A (ko) 악성코드를 검출하는 방법 및 시스템
CN109145592B (zh) 检测异常事件的系统和方法
JP2018005818A (ja) 異常検知システム及び異常検知方法
CN110445769B (zh) 业务系统的访问方法及装置
US12015596B2 (en) Risk analysis using port scanning for multi-factor authentication
US20210029086A1 (en) Method and system for intrusion detection and prevention
KR20130094522A (ko) 보안 진단을 위한 휴대 단말기 및 보안 진단 방법
KR101731312B1 (ko) 사용자 단말의 애플리케이션에 대한 권한변경 탐지 방법, 장치 및 컴퓨터 판독가능 기록매체
CN111614624A (zh) 风险检测方法、装置、系统及存储介质
EP3629545A1 (en) Trust platform
US20210258305A1 (en) Probe-based risk analysis for multi-factor authentication
CN111898124A (zh) 进程访问控制方法和装置、存储介质及电子设备
CN114138590A (zh) Kubernetes集群的运维处理方法、装置及电子设备
CN107306259A (zh) 网页页面访问中的攻击检测方法和装置
CN112069499A (zh) 一种检测方法、装置、存储介质及电子设备
KR101854391B1 (ko) 로그 검색을 이용한 단말의 보안 검사 방법
CN113709136B (zh) 一种访问请求验证方法和装置
CN114282224A (zh) 一种基于可信架构的双路机架式服务器
CN105653948B (zh) 一种阻止恶意操作的方法及装置
US20200329056A1 (en) Trusted advisor for improved security
CN113645191A (zh) 可疑主机的确定方法、装置、设备和计算机可读存储介质
KR102574384B1 (ko) 블록체인 기술을 이용한 분산 구조의 엔드포인트 보안 방법 및 그 장치
KR101482868B1 (ko) Dlp 성능 향상을 위한 분산 인덱싱 시스템

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant