KR102033169B1 - 지능형 보안로그 분석방법 - Google Patents

지능형 보안로그 분석방법 Download PDF

Info

Publication number
KR102033169B1
KR102033169B1 KR1020170093249A KR20170093249A KR102033169B1 KR 102033169 B1 KR102033169 B1 KR 102033169B1 KR 1020170093249 A KR1020170093249 A KR 1020170093249A KR 20170093249 A KR20170093249 A KR 20170093249A KR 102033169 B1 KR102033169 B1 KR 102033169B1
Authority
KR
South Korea
Prior art keywords
history
log
data
analysis
information
Prior art date
Application number
KR1020170093249A
Other languages
English (en)
Other versions
KR20190010956A (ko
Inventor
함병철
Original Assignee
주식회사 시큐리티인사이드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐리티인사이드 filed Critical 주식회사 시큐리티인사이드
Priority to KR1020170093249A priority Critical patent/KR102033169B1/ko
Publication of KR20190010956A publication Critical patent/KR20190010956A/ko
Application granted granted Critical
Publication of KR102033169B1 publication Critical patent/KR102033169B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Medical Informatics (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Security & Cryptography (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 보안로그를 인공지능적으로 분석하도록 머신러닝기법을 이용하여 사용자행위를 분석하고 분석된 데이터를 토대로 이상징후를 사전에 포착하고 빠른 시간내에 효과적으로 대응하도록 한 지능형 보안로그 분석방법에 관한 것으로, 분석대상을 시스템로그, 네트워크로그, 콘텐츠로그, 어플리케이션로그, 기타사항으로 구분하고, 상기 시스템로그는 유닉스, 리눅스, 윈도우에 대한 시스템로그, Web/WAS에 대한 시스템로그 및 어플리케이션로그, DBMS에 대한 시스템로그, 시스템접근이력, 사용명령어 이력, DB접속이력, 쿼리 및 결과이력, 쿼리실행 및 차단이력을 분석대상으로 정의하고, 상기 네트워크로그는 방화벽(firewall), IPS, IDS, Web FW WIPS에 대한 허용이력/탐지이력/차단이력, 공격(attack)/대상(target) IP에 대한 트래픽현황, 공격이벤트, URL 필터링을 위한 유해사이트 차단이력, 네트워크 액세스 컨트롤을 위한 센서, 노드정보, 차단정책 및 대상정보, 인증 및 패치관리, 안티디도스(Anti-Ddos)를 위한 트래픽현황, 탐지차단이력, 라우터와 스위치를 위한 트래픽, 시스템로그, VPN을 위한 사용자인증이력, 트래픽, 시스템로그를 분석대상으로 정의하며, 상기 콘텐츠로그는 DRM/DLP를 위한 사용자인증이력, 문서사용이력, 문서암호화/복호화이력, 매체보안을 위한 USB를 비롯한 매체접근이력, 매체 읽기/쓰기 이력, 매체 허용/차단 이력, 출력물과 팩스 보안을 위한 출력 및 팩스 전송이력, 개인정보탐지를 위한 개인정보보유여부, 모바일보안을 위한 모바일장치 내 업무용 데이터저장방지 여부를 분석대상으로 정의하며, 상기 어플리케이션로그는 웹어플리케이션을 위한 웹접근이력, 오류 및 디버그 로그, 컨테이너로그, 바이러스/ATP/웹쉘 차단을 위한 악성코드차단 및 탐지 이력, 실시간 감시 실행여부, 스캔이력, OTP, 생체인증, PKI, SSO를 위한 사용자 인증이력, 웹과 네트워크 취약점 점검을 위한 취약점 점검결과 이력, 액티브 디렉토리(Active Directory)를 위한 PC로그인, 인증 이력, 소프트웨어 현황, WSUS 현황을 분석대상으로 정의하며, 상기 기타사항은 인사정보, 조직정보, 그룹웨어, ERP와 같은 업무시스템, 물리보안을 위한 게이트웨이, 방문자등록, 인력관리를 위한 퇴직자 및 퇴직예정자 정보, 협력사 인원정보, 통합계정 및 권한정보, 외부위협정보를 위한 KISA, CERT, 금보원, 보안업체서비스를 분석대상으로 정의하는 단계 A1; 상기 단계 A1에서 정의된 분석대상으로부터 데이터를 수집하는 데이터수집장치를 설치하고, 상기 데이터수집장치에 네트워크와 통신(TCP/UDP)을 연결시키며, 상기 상기 데이터수집장치에 데이터베이스(DB)를 연결하여 연동되도록 하며, 시스템로그 및 SNMP(simple network management protocol)를 적용시키며, LDAP(Lightweight Directory Access Protocol)와 같은 프로토콜을 적용시킴으로써, 상기 데이터수집장치에 의해서 데이터를 수집하는 단계 B1을 포함하는 것을 특징으로 한다.

Description

지능형 보안로그 분석방법{intelligence type security log analysis method}
본 발명은 지능형 보안로그 분석방법에 관한 것으로, 더 상세하게는 보안로그를 인공지능적으로 분석하도록 머신러닝기법을 이용하여 사용자행위를 분석하고 분석된 데이터를 토대로 이상징후를 사전에 포착하고 빠른 시간내에 효과적으로 대응하도록 한 지능형 보안로그 분석방법에 관한 것이다.
공개번호 KR20100003099A (2010-01-07)에 따르면, "본 발명은 기업 네트워크 분석 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는 기업의 인터넷 회선에 관한 회선 효율성 분석, 서비스 이용 행태 분석, BGP 분석을 통한 멀티호밍 및 ISP 안정도 분석, 고객 가치 분석, 보안 위협 분석 등과 같이 다각적인 분석을 토대로 다양한 고객(기업, 망 서비스 제공자) 관점에 맞는 다차원 종합 분석 보고서를 제공하기 위한, 기업 네트워크 분석 시스템 및 그 방법을 제공하고자 한다.이를 위하여, 본 발명은, 기업 네트워크 분석 시스템에 있어서, 기업 인터넷 전용회선측에 설치된 각각의 침입 방지 시스템으로부터 보안 로그를 수집하고, 상기 기업 인터넷 전용회선측에 설치된 각각의 인터넷 접속장치로부터 트래픽을 수집하기 위한 트래픽/보안 데이터 수집장치; 상기 기업 인터넷 전용회선에 관한 BGP(Border Gateway Protocol) 데이터를 분석한 정보를 저장하기 위한 BGP DB; 상기 트래픽/보안 데이터 수집장치에서 수집한 정보와 상기 BGP DB에 저장된 정보 및 고객(망 서비스 제공자, 기업)에 관한 세분화 정보를 토대로 해당 기업의 인터넷 전용회선에 대해 분석을 수행하기 위한 기업네트워크 분석장치; 및 상기 고객(망 서비스 제공자, 기업)에 관한 세분화 정보와 상기 기업네트워크 분석장치에서 분석한 정보를 저장하기 위한 기업네트워크 DB를 포함한다."라고 개시된 바가 있다.
공개번호 KR20100003099A (2010-01-07)
그러나, 종래의 보안로그 분석은 다음과 같은 문제점이 있었다.
첫째, 분석작업이 수작업에 의한 것이기 때문에 즉각적이고 대응이 어려운 문제점이 있었다.
둘째, 과거에는 네트워크에서 오고 가는 데이터가 수메가바이트 내지 수백메가바이트에 불과하기 때문에 상대적으로 종래기술로도 대응하는데 큰 무리가 없었지만, 최근에는 하루에 네트워크에서 오고 가는 데이터가 수테라바이트에 이르기 때문에 수작업에 의한 분석작업은 이미 한계에 이르른 문제점이 있었다.
셋째, 종래에는 로그 분석 대상이 정해져 있고, 과거에 분석된 패턴에 해당될 경우에만 대응하도록 규정되어 있고, 분석된 패턴이 아닐 경우에는 새로운 대응방법이 도출될 때까지는 실질적인 대응방법이 전무한 실정에 이르른 문제점이 있었다.
본 발명은 상술한 문제점을 해소하기 위한 것으로, 보안로그를 인공지능적으로 분석하도록 머신러닝기법을 이용하여 사용자행위를 분석하고 분석된 데이터를 토대로 이상징후를 사전에 포착하고 빠른 시간내에 효과적으로 대응하도록 한 지능형 보안로그 분석방법을 제공하는데 그 목적이 있다.
위와 같은 목적을 구현하기 위한 본 발명은 다음과 같은 특징을 가진다.
분석대상을 시스템로그, 네트워크로그, 콘텐츠로그, 어플리케이션로그, 기타사항으로 구분하고, 상기 시스템로그는 유닉스, 리눅스, 윈도우에 대한 시스템로그, Web/WAS에 대한 시스템로그 및 어플리케이션로그, DBMS에 대한 시스템로그, 시스템접근이력, 사용명령어 이력, DB접속이력, 쿼리 및 결과이력, 쿼리실행 및 차단이력을 분석대상으로 정의하고, 상기 네트워크로그는 방화벽(firewall), IPS, IDS, Web FW WIPS에 대한 허용이력/탐지이력/차단이력, 공격(attack)/대상(target) IP에 대한 트래픽현황, 공격이벤트, URL 필터링을 위한 유해사이트 차단이력, 네트워크 액세스 컨트롤을 위한 센서, 노드정보, 차단정책 및 대상정보, 인증 및 패치관리, 안티디도스(Anti-Ddos)를 위한 트래픽현황, 탐지차단이력, 라우터와 스위치를 위한 트래픽, 시스템로그, VPN을 위한 사용자인증이력, 트래픽, 시스템로그를 분석대상으로 정의하며, 상기 콘텐츠로그는 DRM/DLP를 위한 사용자인증이력, 문서사용이력, 문서암호화/복호화이력, 매체보안을 위한 USB를 비롯한 매체접근이력, 매체 읽기/쓰기 이력, 매체 허용/차단 이력, 출력물과 팩스 보안을 위한 출력 및 팩스 전송이력, 개인정보탐지를 위한 개인정보보유여부, 모바일보안을 위한 모바일장치 내 업무용 데이터저장방지 여부를 분석대상으로 정의하며, 상기 어플리케이션로그는 웹어플리케이션을 위한 웹접근이력, 오류 및 디버그 로그, 컨테이너로그, 바이러스/ATP/웹쉘 차단을 위한 악성코드차단 및 탐지 이력, 실시간 감시 실행여부, 스캔이력, OTP, 생체인증, PKI, SSO를 위한 사용자 인증이력, 웹과 네트워크 취약점 점검을 위한 취약점 점검결과 이력, 액티브 디렉토리(Active Directory)를 위한 PC로그인, 인증 이력, 소프트웨어 현황, WSUS 현황을 분석대상으로 정의하며, 상기 기타사항은 인사정보, 조직정보, 그룹웨어, ERP와 같은 업무시스템, 물리보안을 위한 게이트웨이, 방문자등록, 인력관리를 위한 퇴직자 및 퇴직예정자 정보, 협력사 인원정보, 통합계정 및 권한정보, 외부위협정보를 위한 KISA, CERT, 금보원, 보안업체서비스를 분석대상으로 정의하는 단계 A1; 상기 단계 A1에서 정의된 분석대상으로부터 데이터를 수집하는 데이터수집장치를 설치하고, 상기 데이터수집장치에 네트워크와 통신(TCP/UDP)을 연결시키며, 상기 상기 데이터수집장치에 데이터베이스(DB)를 연결하여 연동되도록 하며, 시스템로그 및 SNMP(simple network management protocol)를 적용시키며, LDAP(Lightweight Directory Access Protocol)와 같은 프로토콜을 적용시킴으로써, 상기 데이터수집장치에 의해서 데이터를 수집하는 단계 B1을 포함하는 것이다.
실시예에 있어서, 상기 단계 B1 이후에, 상기 데이터수집장치에 의해서 수집된 데이터를 대상으로, 전처리를 위한 내부서버를 구비하고, 상기 내부서버에 의해서, 분석에 미사용된 데이터를 사전에 필터링하여 불필요한 리소스사용을 방지하는 필터링과정, 각 문장의 문법적인 구성 또는 구문을 분석하는 파싱(Parsing)과정, 데이터를 일정한 규칙에 따라 변형하여 이용하기 쉽게 만드는 정규화과정, 정부기관(금보원 및 KISA)에서 권고하는 암호화방식을 적용시키는 암호화 및 압축과정, 보안을 위하여 데이터 암호화를 수행한 후 대역폭감소를 위해 압축된 데이터를 외부클러스터로 전송시키는 저장 및 전송과정을 거치는 단계 C1을 더 포함하는 것이다.
실시예에서, 상기 단계 C1 이후에, 여러 대의 컴퓨터를 네트워크로 연결해 사용자에게 하나의 고성능 대형 컴퓨터 시스템을 사용하는 것과 같은 기능을 제공하는 외부클러스터를 구비하고, 상기 외부클러스터에 의하여, 병렬 분산처리로 필요할 경우, 용량을 확장시키기 위한 저장/압축 해제 과정, 메모리 기반으로 고속검색처리가 가능하도록 인덱싱하는 인덱싱과정, 공개소스 기반의 딥러닝(deep learning)을 수행하는 기계학습과정, 공개소스 기반의 다차원 데이터를 시각화하는 데이터시각화과정, 사용자별 수행행위를 분석하는 사용자행위분석과정, 내부정보 유출등의 침해사고를 사전에 대응하기 위한 이상징후탐지과정에 의해서 전처리된 데이터를 분석하는 단계 D1을 더 포함하는 것이다.
실시예에서, 상기 단계 D1 이후에, 정책/시나리오를 위해서, 수집한 데이터 사이의 연계된 상관 분석시나리오를 제공하고, 위와 같이 수집한 데이터를 통해 발생원인 및 영향도 등에 대한 분석을 지원하며, 외부 보안정보를 반영하여 사전 대응을 지원하며, 대시보드를 위해서, 중요지표에 대한 실시간 현황이 파악되고, 데이터 시각화를 통해서 다차원데이터에 대한 관리자 인지 능력이 향상되며, 이벤트/조회분석을 위해서, 인덱싱을 통해서 대용량 데이터에 대한 고속 검색을 지원하고, 사용자별 행위를 검색하며, 내부 위협에 사전대응하며, 인사/조직 정보이력을 통해 퇴사자 및 협력사 직원에 대한 지속적으로 모니터링하며, 소명처리를 위해서, 이상행위 탐지시 해당 사용자에 대한 소명절차를 지원하여 내부자 위협에 대한 사전방지 및 사후대응을 수행하며, 리포팅을 위해서, 관리자가 원하는 형식의 보고서 작성을 위한 도구를 지원함으로써, 분석된 데이터를 관리하는 단계 E1을 더 포함하는 것이다.
본 발명의 바람직한 효과에 따르면, 분석작업이 수작업에 의한 것이기 때문에 즉각적이고 대응이 어려운 종래의 분석작업을 획기적으로 개선하여 분석작업의 효율성을 극대화시키는 장점이 있고, 하루에 네트워크에서 오고 가는 데이터가 수테라바이트에 이르는 분석작업을 자동화시키고 인공지능화시킴으로써 과거에 비해서 빠르면서도 효과적인 분석효율을 기할 수 있는 장점이 있다,
도 1은 본 발명에 따른 지능형 보안로그 분석방법을 나타낸 흐름도.
이하, 첨부된 도면을 참조하여 본 발명을 상세히 설명하도록 한다.
도 1은 본 발명에 따른 지능형 보안로그 분석방법을 나타낸 흐름도로서, 본 발명은 수집하고자 하는 데이터의 대상을 정의하는 단계 A1, 정의된 데이터를 수집하는 단계 B1, 수집된 데이터의 전처리과정을 수행하는 단계 C1, 전처리된 데이터를 분석하는 단계 D1, 분석된 데이터를 추후 관리하는 단계 E1을 포함하는 구성을 가진다.
또한, 위에서 살펴본 단계는 각 단계별로 세부적인 실행과정으로 이루어지는데, 각 단계별로 세부적으로 살펴보도록 한다.
분석대상을 시스템로그(A2), 네트워크로그(A3), 콘텐츠로그(A4), 어플리케이션로그(A5), 기타사항(A6)으로 구분하고,
상기 시스템로그(A2)는 유닉스, 리눅스, 윈도우에 대한 시스템로그, Web/WAS에 대한 시스템로그 및 어플리케이션로그, DBMS에 대한 시스템로그, 시스템접근이력, 사용명령어 이력, DB접속이력, 쿼리 및 결과이력, 쿼리실행 및 차단이력을 분석대상으로 정의하고,
상기 네트워크로그(A3)는 방화벽(firewall), IPS, IDS, Web FW WIPS에 대한 허용이력/탐지이력/차단이력, 공격(attack)/대상(target) IP에 대한 트래픽현황, 공격이벤트, URL 필터링을 위한 유해사이트 차단이력, 네트워크 액세스 컨트롤을 위한 센서, 노드정보, 차단정책 및 대상정보, 인증 및 패치관리, 안티디도스(Anti-Ddos)를 위한 트래픽현황, 탐지차단이력, 라우터와 스위치를 위한 트래픽, 시스템로그, VPN을 위한 사용자인증이력, 트래픽, 시스템로그를 분석대상으로 정의하며,
상기 콘텐츠로그(A4)는 DRM/DLP를 위한 사용자인증이력, 문서사용이력, 문서암호화/복호화이력, 매체보안을 위한 USB를 비롯한 매체접근이력, 매체 읽기/쓰기 이력, 매체 허용/차단 이력, 출력물과 팩스 보안을 위한 출력 및 팩스 전송이력, 개인정보탐지를 위한 개인정보보유여부, 모바일보안을 위한 모바일장치 내 업무용 데이터저장방지 여부를 분석대상으로 정의하며,
상기 어플리케이션로그(A5)는 웹어플리케이션을 위한 웹접근이력, 오류 및 디버그 로그, 컨테이너로그, 바이러스/ATP/웹쉘 차단을 위한 악성코드차단 및 탐지 이력, 실시간 감시 실행여부, 스캔이력, OTP, 생체인증, PKI, SSO를 위한 사용자 인증이력, 웹과 네트워크 취약점 점검을 위한 취약점 점검결과 이력, 액티브 디렉토리(Active Directory)를 위한 PC로그인, 인증 이력, 소프트웨어 현황, WSUS 현황을 분석대상으로 정의하며,
상기 기타사항(A6)은 인사정보, 조직정보, 그룹웨어, ERP와 같은 업무시스템, 물리보안을 위한 게이트웨이, 방문자등록, 인력관리를 위한 퇴직자 및 퇴직예정자 정보, 협력사 인원정보, 통합계정 및 권한정보, 외부위협정보를 위한 KISA, CERT, 금보원, 보안업체서비스를 분석대상으로 정의하는 단계 A1를 수행한다.
상기 단계 A1에서 정의된 분석대상으로부터 데이터를 수집하는 데이터수집장치를 설치하고(B2), 상기 데이터수집장치에 네트워크와 통신(TCP/UDP)을 연결시키며(B3), 상기 데이터수집장치에 데이터베이스(DB)를 연결하여 연동되도록 하며(B4), 시스템로그 및 SNMP(simple network management protocol)를 적용시키며(B5), LDAP(Lightweight Directory Access Protocol)와 같은 프로토콜을 적용시킴(B6)으로써, 상기 데이터수집장치에 의해서 데이터를 수집하는 단계 B1을 수행한다.
상기 단계 B1 이후에,
상기 데이터수집장치에 의해서 수집된 데이터를 대상으로, 전처리를 위한 내부서버를 구비하고, 상기 내부서버에 의해서, 분석에 미사용된 데이터를 사전에 필터링하여 불필요한 리소스사용을 방지하는 필터링과정(C2), 각 문장의 문법적인 구성 또는 구문을 분석하는 파싱(Parsing)과정(C3), 데이터를 일정한 규칙에 따라 변형하여 이용하기 쉽게 만드는 정규화과정(C4), 정부기관(금보원 및 KISA)에서 권고하는 암호화방식을 적용시키는 암호화 및 압축과정(C5), 보안을 위하여 데이터 암호화를 수행한 후 대역폭감소를 위해 압축된 데이터를 외부클러스터로 전송시키는 저장 및 전송과정(C6)을 거치는 단계 C1을 수행하도록 한다.
상기 단계 C1 이후에,
여러 대의 컴퓨터를 네트워크로 연결해 사용자에게 하나의 고성능 대형 컴퓨터 시스템을 사용하는 것과 같은 기능을 제공하는 외부클러스터를 구비하고, 상기 외부클러스터에 의하여,
병렬 분산처리로 필요할 경우, 용량을 확장시키기 위한 저장/압축 해제 과정, 메모리 기반으로 고속검색처리가 가능하도록 인덱싱하는 인덱싱과정(D2), 공개소스 기반의 딥러닝(deep learning)을 수행하는 기계학습과정(D3), 공개소스 기반의 다차원 데이터를 시각화하는 데이터시각화과정(D6), 사용자별 수행행위를 분석하는 사용자행위분석과정(D4), 내부정보 유출등의 침해사고를 사전에 대응하기 위한 이상징후탐지과정(D5)에 의해서 전처리된 데이터를 분석하는 단계 D1을 수행한다.
상기 단계 D1 이후에,
정책/시나리오를 위해서, 수집한 데이터 사이의 연계된 상관 분석시나리오를 제공하고, 위와 같이 수집한 데이터를 통해 발생원인 및 영향도 등에 대한 분석을 지원하며, 외부 보안정보를 반영하여 사전 대응을 지원하며(E2),
대시보드를 위해서, 중요지표에 대한 실시간 현황이 파악되고, 데이터 시각화를 통해서 다차원데이터에 대한 관리자 인지 능력이 향상되며(E3),
이벤트/조회분석을 위해서, 인덱싱을 통해서 대용량 데이터에 대한 고속 검색을 지원하고, 사용자별 행위를 검색하며, 내부 위협에 사전대응하며, 인사/조직 정보이력을 통해 퇴사자 및 협력사 직원에 대한 지속적으로 모니터링하며(E4),
소명처리를 위해서, 이상행위 탐지시 해당 사용자에 대한 소명절차를 지원하여 내부자 위협에 대한 사전방지 및 사후대응을 수행하며(E5),
리포팅을 위해서, 관리자가 원하는 형식의 보고서 작성을 위한 도구를 지원함으로써(E6), 분석된 데이터를 관리하는 단계 E1을 수행한다.
A2 ; 시스템로그 A3 ; 네트워크로그
A4 ; 컨텐츠 A5 ; 어플리케이션
A6 ; 기타사항 B2 ; 에이전트설치
B3 ; 네트워크 통신 B4 ; DB연동
B5 ; Sylog/SNMP B6 ; LDAP
C2 ; 필터링 C3 ; 파싱
C4 ; 정규화 C5 ; 암호화/압축
C6 ; 저장/전송 D2 ; 병렬분산처리
D3 ; 기계학습 D4 ; 사용자행위분석
D5 ; 실시간자동분석 D6 ; 데이터시각화
E2 ; 정책/시나리오 E3 ; 대시보드
E4 ; 이벤트/조회분석 E5 ; 소명처리
E6 ; 리포트처리

Claims (4)

  1. 로그분석장치는 분석대상을 시스템로그, 네트워크로그, 콘텐츠로그, 어플리케이션로그, 기타사항으로 구분하고,
    상기 로그분석장치에 의해서 수행되는 상기 시스템로그는 유닉스, 리눅스, 윈도우에 대한 시스템로그, Web/WAS에 대한 시스템로그 및 어플리케이션로그, DBMS에 대한 시스템로그, 시스템접근이력, 사용명령어 이력, DB접속이력, 쿼리 및 결과이력, 쿼리실행 및 차단이력을 분석대상으로 정의하고,
    상기 로그분석장치에 의해서 수행되는 상기 네트워크로그는 방화벽(firewall), IPS, IDS, Web FW WIPS에 대한 허용이력/탐지이력/차단이력, 공격(attack)/대상(target) IP에 대한 트래픽현황, 공격이벤트, URL 필터링을 위한 유해사이트 차단이력, 네트워크 액세스 컨트롤을 위한 센서, 노드정보, 차단정책 및 대상정보, 인증 및 패치관리, 안티디도스(Anti-Ddos)를 위한 트래픽현황, 탐지차단이력, 라우터와 스위치를 위한 트래픽, 시스템로그, VPN을 위한 사용자인증이력, 트래픽, 시스템로그를 분석대상으로 정의하며,
    상기 로그분석장치에 의해서 수행되는 상기 콘텐츠로그는 DRM/DLP를 위한 사용자인증이력, 문서사용이력, 문서암호화/복호화이력, 매체보안을 위한 USB를 비롯한 매체접근이력, 매체 읽기/쓰기 이력, 매체 허용/차단 이력, 출력물과 팩스 보안을 위한 출력 및 팩스 전송이력, 개인정보탐지를 위한 개인정보보유여부, 모바일보안을 위한 모바일장치 내 업무용 데이터저장방지 여부를 분석대상으로 정의하며,
    상기 로그분석장치에 의해서 수행되는 상기 어플리케이션로그는 웹어플리케이션을 위한 웹접근이력, 오류 및 디버그 로그, 컨테이너로그, 바이러스/ATP/웹쉘 차단을 위한 악성코드차단 및 탐지 이력, 실시간 감시 실행여부, 스캔이력, OTP, 생체인증, PKI, SSO를 위한 사용자 인증이력, 웹과 네트워크 취약점 점검을 위한 취약점 점검결과 이력, 액티브 디렉토리(Active Directory)를 위한 PC로그인, 인증 이력, 소프트웨어 현황, WSUS 현황을 분석대상으로 정의하며,
    상기 로그분석장치에 의해서 수행되는 상기 기타사항은 인사정보, 조직정보, 그룹웨어, ERP와 같은 업무시스템, 물리보안을 위한 게이트웨이, 방문자등록, 인력관리를 위한 퇴직자 및 퇴직예정자 정보, 협력사 인원정보, 통합계정 및 권한정보, 외부위협정보를 위한 KISA, CERT, 금보원, 보안업체서비스를 분석대상으로 정의하는 단계 A1;
    상기 단계 A1에서 정의된 분석대상으로부터 데이터를 수집하는 데이터수집장치를 설치하고, 상기 데이터수집장치에 네트워크와 통신(TCP/UDP)을 연결시키며, 상기 상기 데이터수집장치에 데이터베이스(DB)를 연결하여 연동되도록 하며, 시스템로그 및 SNMP(simple network management protocol)를 적용시키며, LDAP(Lightweight Directory Access Protocol)와 같은 프로토콜을 적용시킴으로써, 상기 데이터수집장치에 의해서 데이터를 수집하는 단계 B1;
    상기 단계 B1 이후에,
    상기 데이터수집장치에 의해서 수집된 데이터를 대상으로, 전처리를 위한 내부서버를 구비하고, 상기 내부서버에 의해서, 분석에 미사용된 데이터를 사전에 필터링하여 불필요한 리소스사용을 방지하는 필터링과정, 각 문장의 문법적인 구성 또는 구문을 분석하는 파싱(Parsing)과정, 데이터를 일정한 규칙에 따라 변형하여 이용하기 쉽게 만드는 정규화과정, 정부기관(금보원 및 KISA)에서 권고하는 암호화방식을 적용시키는 암호화 및 압축과정, 보안을 위하여 데이터 암호화를 수행한 후 대역폭감소를 위해 압축된 데이터를 외부클러스터로 전송시키는 저장 및 전송과정을 거치는 단계 C1을 더 포함하는 지능형 보안로그 분석방법.
  2. 청구항 1에 있어서,
    상기 단계 C1 이후에,
    여러 대의 컴퓨터를 네트워크로 연결해 사용자에게 하나의 고성능 대형 컴퓨터 시스템을 사용하는 것과 같은 기능을 제공하는 외부클러스터를 구비하고, 상기 외부클러스터에 의하여,
    병렬 분산처리로 필요할 경우, 용량을 확장시키기 위한 저장/압축 해제 과정, 메모리 기반으로 고속검색처리가 가능하도록 인덱싱하는 인덱싱과정, 공개소스 기반의 딥러닝(deep learning)을 수행하는 기계학습과정, 공개소스 기반의 다차원 데이터를 시각화하는 데이터시각화과정, 사용자별 수행행위를 분석하는 사용자행위분석과정, 내부정보 유출등의 침해사고를 사전에 대응하기 위한 이상징후탐지과정에 의해서 전처리된 데이터를 분석하는 단계 D1을 더 포함하는 지능형 보안로그 분석방법.
  3. 청구항 2에 있어서,
    상기 단계 D1 이후에,
    정책/시나리오를 위해서, 수집한 데이터 사이의 연계된 상관 분석시나리오를 제공하고, 위와 같이 수집한 데이터를 통해 발생원인 및 영향도 등에 대한 분석을 지원하며, 외부 보안정보를 반영하여 사전 대응을 지원하며,
    대시보드를 위해서, 중요지표에 대한 실시간 현황이 파악되고, 데이터 시각화를 통해서 다차원데이터에 대한 관리자 인지 능력이 향상되며,
    이벤트/조회분석을 위해서, 인덱싱을 통해서 대용량 데이터에 대한 고속 검색을 지원하고, 사용자별 행위를 검색하며, 내부 위협에 사전대응하며, 인사/조직 정보이력을 통해 퇴사자 및 협력사 직원에 대한 지속적으로 모니터링하며,
    소명처리를 위해서, 이상행위 탐지시 해당 사용자에 대한 소명절차를 지원하여 내부자 위협에 대한 사전방지 및 사후대응을 수행하며,
    리포팅을 위해서, 관리자가 원하는 형식의 보고서 작성을 위한 도구를 지원함으로써, 분석된 데이터를 관리하는 단계 E1을 더 포함하는 지능형 보안로그 분석방법.
  4. 삭제
KR1020170093249A 2017-07-24 2017-07-24 지능형 보안로그 분석방법 KR102033169B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170093249A KR102033169B1 (ko) 2017-07-24 2017-07-24 지능형 보안로그 분석방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170093249A KR102033169B1 (ko) 2017-07-24 2017-07-24 지능형 보안로그 분석방법

Publications (2)

Publication Number Publication Date
KR20190010956A KR20190010956A (ko) 2019-02-01
KR102033169B1 true KR102033169B1 (ko) 2019-10-16

Family

ID=65367902

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170093249A KR102033169B1 (ko) 2017-07-24 2017-07-24 지능형 보안로그 분석방법

Country Status (1)

Country Link
KR (1) KR102033169B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102152338B1 (ko) 2019-11-19 2020-09-07 충북대학교 산학협력단 Nidps 엔진 간의 룰 변환 시스템 및 방법
KR20220073108A (ko) 2020-11-26 2022-06-03 한국전력공사 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR20220074638A (ko) 2020-11-27 2022-06-03 광주과학기술원 소프트웨어 정의 네트워크에서 강화학습 기반 다중 트래픽 분석기에 대한 샘플링 포인트 및 샘플링 레이트 결정 방법 및 장치
US11614989B2 (en) 2020-07-28 2023-03-28 Electronics And Telecommunications Research Institute Method and apparatus for intelligent operation management of infrastructure

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102291977B1 (ko) 2019-11-12 2021-08-20 고려대학교 산학협력단 악성코드 공격 피해 규모 측정 방법, 이를 수행하기 위한 기록 매체 및 장치
KR20210088162A (ko) * 2020-01-06 2021-07-14 삼성전자주식회사 전자 장치 및 이의 제어 방법
KR102563059B1 (ko) * 2020-11-25 2023-08-04 서울과학기술대학교 산학협력단 사이버 위협 탐지를 위한 그래프 기반 학습 데이터 생성 장치
CN115442270A (zh) * 2022-09-02 2022-12-06 南京信易达计算技术有限公司 全栈式高性能计算集群监控系统
CN116974973B (zh) * 2023-08-09 2024-04-05 株洲车城机车配件股份有限公司 一种机车视频智慧转储保护方法及系统
CN117648689B (zh) * 2024-01-29 2024-04-12 北京东方森太科技发展有限公司 基于人工智能的工控主机安全事件自动响应方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101469283B1 (ko) 2008-06-30 2014-12-04 주식회사 케이티 기업 네트워크 분석 시스템 및 그 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"통합로그 관리 솔루션 LogCops" NileSoft 기술 설명서 (2014.)*

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102152338B1 (ko) 2019-11-19 2020-09-07 충북대학교 산학협력단 Nidps 엔진 간의 룰 변환 시스템 및 방법
US11614989B2 (en) 2020-07-28 2023-03-28 Electronics And Telecommunications Research Institute Method and apparatus for intelligent operation management of infrastructure
KR20220073108A (ko) 2020-11-26 2022-06-03 한국전력공사 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR20230054650A (ko) 2020-11-26 2023-04-25 한국전력공사 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR20230056639A (ko) 2020-11-26 2023-04-27 한국전력공사 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR20230056638A (ko) 2020-11-26 2023-04-27 한국전력공사 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR20230056637A (ko) 2020-11-26 2023-04-27 한국전력공사 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR20220074638A (ko) 2020-11-27 2022-06-03 광주과학기술원 소프트웨어 정의 네트워크에서 강화학습 기반 다중 트래픽 분석기에 대한 샘플링 포인트 및 샘플링 레이트 결정 방법 및 장치

Also Published As

Publication number Publication date
KR20190010956A (ko) 2019-02-01

Similar Documents

Publication Publication Date Title
KR102033169B1 (ko) 지능형 보안로그 분석방법
US10917417B2 (en) Method, apparatus, server, and storage medium for network security joint defense
US11418523B2 (en) Artificial intelligence privacy protection for cybersecurity analysis
CN110149350B (zh) 一种告警日志关联的网络攻击事件分析方法及装置
EP3641225B1 (en) Policy-driven compliance
US11238366B2 (en) Adaptive object modeling and differential data ingestion for machine learning
KR100831483B1 (ko) 보안 정책을 관리하는 방법 및 시스템
CA2629279C (en) Log collection, structuring and processing
US20160191352A1 (en) Network asset information management
US11100046B2 (en) Intelligent security context aware elastic storage
US20030135749A1 (en) System and method of defining the security vulnerabilities of a computer system
CA3028273A1 (en) Cybersecurity system
US20030159060A1 (en) System and method of defining the security condition of a computer system
CN113424157A (zh) IoT设备行为的多维周期性检测
KR20140035146A (ko) 정보보안 장치 및 방법
CA2983458A1 (en) Cyber security system and method using intelligent agents
KR101658450B1 (ko) 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치.
JP6933320B2 (ja) サイバーセキュリティフレームワークボックス
US11632393B2 (en) Detecting and mitigating malware by evaluating HTTP errors
Ramaki et al. Towards event aggregation for reducing the volume of logged events during IKC stages of APT attacks
Mokhov et al. Automating MAC spoofer evidence gathering and encoding for investigations
Fanfara et al. Autonomous hybrid honeypot as the future of distributed computer systems security
Awotipe Log analysis in cyber threat detection
Lin et al. Log Analysis
Sapegin et al. Normalisation of log messages for intrusion detection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant