KR102098064B1 - Method, Apparatus and System for Security Monitoring Based On Log Analysis - Google Patents
Method, Apparatus and System for Security Monitoring Based On Log Analysis Download PDFInfo
- Publication number
- KR102098064B1 KR102098064B1 KR1020150160240A KR20150160240A KR102098064B1 KR 102098064 B1 KR102098064 B1 KR 102098064B1 KR 1020150160240 A KR1020150160240 A KR 1020150160240A KR 20150160240 A KR20150160240 A KR 20150160240A KR 102098064 B1 KR102098064 B1 KR 102098064B1
- Authority
- KR
- South Korea
- Prior art keywords
- event
- server
- security
- client device
- analysis
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Abstract
로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템이 개시되어 있다. 로그 분석을 기반으로 하는 모니터링 방법은 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 감지된 이벤트에 대응하는 로그들을 기반으로 하여 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하고, 그 판단을 기반으로 하여, 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나 클라이언트 디바이스에 의한 보안 조치를 수행하는 것 중 어느 하나를 수행할 수 있다.A security monitoring method, apparatus and system based on log analysis is disclosed. The monitoring method based on log analysis is based on collecting logs generated from the client device and analyzing the logs in real time, detecting events requiring security measures, and based on logs corresponding to the detected events. Generates normalized log information corresponding to an event, determines whether the detected event is a risk level event that requires detailed analysis from the server, and based on the determination, includes the normalized log information to the server Either of sending a detailed analysis request or performing a security measure by a client device may be performed.
Description
본 발명은 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템에 관한 것으로서, 좀더 상세하게는, 클라이언트 디바이스에서 발생하는 행위에 따른 로그들을 수집하고, 수집된 로그들을 분석하여 선택적으로 서버에서 보안 조치를 수행하므로 서버의 로드는 줄이고 분석의 신속성과 신뢰성은 향상시킨 로그 분석 기반의 보안 모니터링 방법, 장치 및 시스템에 관한 것이다.
The present invention relates to a security monitoring method, apparatus, and system based on log analysis. More specifically, it collects logs according to actions occurring in a client device, analyzes the collected logs, and optionally performs security measures on the server. It is related to a log analysis-based security monitoring method, device, and system that reduces the load on the server and improves the speed and reliability of the analysis.
최근 들어, 인터넷 환경에서 해킹 등으로 인한 불법 행위가 빈번하게 발생하면서, 이러한 불법 행위를 검출하고 대응하기 위한 모니터링 시스템과 그 관련 기술들이 개발되고 있다. 예를 들어 모니터링 시스템은 클라이언트의 행위를 분석하고 그 행위가 불법으로 판별되면 해당 행위에 대한 방법 및 신고 등의 처리를 수행할 수 있다.2. Description of the Related Art In recent years, with the frequent occurrence of illegal acts due to hacking in the Internet environment, monitoring systems and related technologies for detecting and responding to such illegal acts have been developed. For example, the monitoring system may analyze a client's behavior and perform processing such as a method and report on the behavior when the behavior is determined to be illegal.
이때, 클라이언트 디바이스의 행위를 분석하기 위한 기반으로서 클라이언트 디바이스에서 발생하는 로그들을 사용할 수 있다. 종래의 로그 분석은 배치 방식을 사용하거나 전용 하드웨어에 의존하고 있다. 그런데 이러한 경우, 실시간 처리 방식이 아니므로 불법 행위에 대한 신속한 대응이 어렵고 비용이 많이 소모된다.In this case, logs generated in the client device may be used as a basis for analyzing the behavior of the client device. Conventional log analysis uses a batch method or relies on dedicated hardware. However, in this case, since it is not a real-time processing method, it is difficult to respond promptly to illegal activities and is expensive.
종래의 다른 방식으로 클라이언트 디바이스의 로그를 일일이 서버에서 수집한 후 분석하고 그 결과 및 대응 지침을 클라이언트 디바이스로 전송하는 방식이 있으나 이 경우에도 서버 및 네트워크의 로드가 너무 많고 대응이 느려지는 문제점이 있었다.There is a method in which the log of the client device is collected and analyzed by the server in a different way in the related art, and the result and the response guidelines are transmitted to the client device. .
따라서, 서버 및 네트워크의 부하를 최소화하면서도 클라이언트 디바이스에서 발생하는 이상 징후를 실시간으로 용이하게 판단 및 대처할 수 있는 새로운 기술의 개발이 시급히 요구되고 있다.
Accordingly, there is an urgent need to develop a new technology capable of easily determining and responding to abnormal signs occurring in a client device in real time while minimizing the load on the server and the network.
본 발명은 이러한 문제점을 해결하기 위한 것으로서, 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 수집된 로그들을 실시간으로 분석하여 클라이언트 디바이스 또는 서버에서 선택적으로 위험 이벤트에 대응하는 보안 조치를 수행함으로써 서버 및 네트워크 부하를 최소화하면서도 대처의 신속성은 향상시킨 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템을 제공하는데 그 목적이 있다.
The present invention is to solve such a problem, collects logs generated in the client device, analyzes the collected logs in real time, and performs a security measure corresponding to a critical event on the client device or server to perform server and network load The objective is to provide a security monitoring method, device, and system based on improved log analysis while minimizing the response time.
이러한 목적을 달성하기 위하여 본 발명은 일 측면(Aspect)에서 로그 분석을 기반으로 하는 보안 모니터링 방법을 제공한다. 상기 로그 분석을 기반으로 하는 보안 모니터링 방법은, 클라이언트 디바이스에 의하여 수행되는 보안 모니터링 방법에 있어서, 상기 클라이언트 디바이스에서 발생하는 로그들을 수집하는 단계; 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하는 단계; 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하는 단계; 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계; 및 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하는 단계 및 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 단계 중 어느 하나의 단계를 수행하는 단계를 포함한다.In order to achieve this object, the present invention provides a security monitoring method based on log analysis in one aspect. A security monitoring method based on the log analysis includes: a security monitoring method performed by a client device, comprising: collecting logs generated in the client device; Detecting an event requiring a security measure based on real-time analysis of the collected logs; Generating normalized log information corresponding to the event based on the logs corresponding to the detected event; Determining whether the detected event is a risk level event that requires a detailed analysis request from a server; And based on the determination, transmitting any one of the steps of transmitting a detailed analysis request including the normalized log information to the server and performing security measures by the client device. .
상기 보안 조치가 필요한 이벤트를 감지하는 단계는, 상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단하는 단계를 포함할 수 있다.The step of detecting an event requiring the security measure may include analyzing the collected logs in real time to determine whether the event is an event that violates a predetermined rule set.
상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함할 수 있다. 상기 로그 정보는, 어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함할 수 있다.The log information may have information smaller than the collected logs, and may include information indicating a history of the event. The log information may include an application identifier, a target file name, an access type, a count value, and an event occurrence time.
상기 감지된 이벤트가 상기 서버에 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계는, 상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하는 단계; 이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하는 단계; 및 상기 위험 포인트가 상기 기준 포인트 이상인지를 판단하는 단계를 포함할 수 있다.Determining whether the detected event is a risk level event that requires requesting analysis from the server includes: generating a risk point of the event based on the collected logs; Querying a pre-stored table including reference points for each event and extracting reference points corresponding to the event; And determining whether the risk point is greater than or equal to the reference point.
상기 어느 하나의 단계를 수행하는 단계는, 상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행하는 단계를 포함할 수도 있다.In the step of performing any one of the steps, when the risk point is greater than or equal to the reference point, a detailed analysis request including the normalized log information is transmitted to the server, and when the risk point is less than the reference point, the server It may include the step of performing its own security measures by the client device without requesting an analysis.
상기 보안 조치를 수행하는 단계는, 상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행하는 단계를 포함할 수 있다. 상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함할 수 있다.The step of performing the security measure may include performing a security process provided in the client device. The security process may include at least one of locking a PC, backing up document data, displaying a warning message, and blocking access.
상기 로그 분석을 기반으로 하는 보안 모니터링 시스템은, 상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하는 단계; 상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하는 단계; 및 상기 서버에서 명령하는 보안 조치를 수행하는 단계를 더 포함할 수도 있다.The security monitoring system based on the log analysis comprises: receiving a request to transmit collected logs in response to the log information from the server performing detailed analysis; Transmitting the collected logs to the server in response to the transmission request; And performing security measures instructed by the server.
한편, 상술한 본 발명의 목적을 달성하기 위하여 본 발명은 다른 측면에서 로그 분석을 기반으로 하는 보안 모니터링 장치를 제공한다. 상기 보안 모니터링 장치는, 클라이언트 디바이스에서 발생하는 로그들을 수집하는 로그 수집부; 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 실시간 로그 분석부; 및 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나, 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 로컬 제어부를 포함할 수 있다.On the other hand, in order to achieve the object of the present invention described above, the present invention provides a security monitoring device based on log analysis in another aspect. The security monitoring apparatus includes: a log collection unit that collects logs generated in the client device; Based on analyzing the collected logs in real time, an event requiring a security measure is detected, and normalized log information corresponding to the event is generated based on the logs corresponding to the detected event, and the detection A real-time log analysis unit to determine whether the event is at a risk level that requires a detailed analysis request from the server; And a local control unit that transmits a detailed analysis request including the normalized log information to the server based on the determination, or performs a security measure by the client device.
상기 실시간 로그 분석부는, 상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단할 수 있다. 상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함할 수 있다. 상기 로그 정보는, 어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함할 수 있다.The real-time log analysis unit may analyze the collected logs in real time to determine whether the event is an event that violates a predetermined rule set. The log information may have information smaller than the collected logs, and may include information indicating a history of the event. The log information may include an application identifier, a target file name, an access type, a count value, and an event occurrence time.
상기 실시간 로그 분석부는, 상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하고, 이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하고, 상기 위험 포인트가 상기 기준 포인트 이상인지를 판단할 수 있다.The real-time log analysis unit generates a risk point of the event based on the collected logs, retrieves a pre-stored table including a reference point for each event, extracts a reference point corresponding to the event, and the risk point It may be determined whether or not is equal to or greater than the reference point.
상기 로컬 제어부는, 상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행할 수 있다.The local control unit transmits a detailed analysis request including the normalized log information to the server when the risk point is greater than or equal to the reference point, and when the risk point is less than the reference point, the client without requesting analysis to the server You can perform your own security measures by the device.
상기 로컬 제어부는 상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행할 수 있다. 상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함할 수 있다.The local control unit may perform a security process provided in the client device. The security process may include at least one of locking a PC, backing up document data, displaying a warning message, and blocking access.
상기 로컬 제어부는, 상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하고, 상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하고, 상기 서버에서 명령하는 보안 조치를 수행할 수 있다.The local control unit receives a request for transmission of logs collected corresponding to the log information from the server performing detailed analysis, transmits the collected logs to the server in response to the transmission request, and commands from the server Security measures.
한편, 상술한 본 발명의 목적을 달성하기 위하여 본 발명은 또 다른 측면에서 로그 분석을 기반으로 하는 보안 모니터링 시스템을 제공한다. 상기 로그 분석을 기반으로 하는 보안 모니터링 시스템은, 클라이언트 디바이스 및 상기 클라이언트 디바이스와 연동하는 서버를 포함할 수 있다.On the other hand, in order to achieve the object of the present invention described above, the present invention provides a security monitoring system based on log analysis in another aspect. The security monitoring system based on the log analysis may include a client device and a server interworking with the client device.
상기 클라이언트 디바이스는, 상기 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하고, 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나, 상기 클라이언트 디바이스에 의한 보안 조치를 수행할 수 있다.The client device detects an event requiring a security measure based on collecting logs generated from the client device and analyzing the collected logs in real time, and based on logs corresponding to the detected event. To generate normalized log information corresponding to the event, to determine whether the detected event is a risk level event that requires detailed analysis to the server, and based on the determination, the normalized log to the server A detailed analysis request including information may be transmitted, or a security measure by the client device may be performed.
상기 클라이언트 디바이스는, 상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단할 수 있다. 상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함할 수 있다. 상기 로그 정보는, 어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함할 수도 있다.The client device may analyze the collected logs in real time to determine whether the event is an event that violates a predetermined rule set. The log information may have information smaller than the collected logs, and may include information indicating a history of the event. The log information may include an application identifier, a target file name, an access type, a count value, and an event occurrence time.
상기 클라이언트 디바이스는, 상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하고, 이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하고, 상기 위험 포인트가 상기 기준 포인트 이상인지를 판단할 수 있다.The client device generates a risk point of the event based on the collected logs, retrieves a pre-stored table including a reference point for each event, extracts a reference point corresponding to the event, and the risk point It may be determined whether or not the reference point is greater than or equal to.
상기 클라이언트 디바이스는, 상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행할 수 있다.The client device sends a detailed analysis request including the normalized log information to the server when the risk point is greater than or equal to the reference point, and when the risk point is less than the reference point, the client without an analysis request to the server You can perform your own security measures by the device.
상기 클라이언트 디바이스는, 상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행할 수 있다. 상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함할 수 있다.The client device may perform a security process provided in the client device. The security process may include at least one of locking a PC, backing up document data, displaying a warning message, and blocking access.
상기 클라이언트 디바이스는, 상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하고, 상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하고, 상기 서버에서 명령하는 보안 조치를 수행할 수 있다.The client device receives a request for transmission of logs collected corresponding to the log information from the server performing detailed analysis, transmits the collected logs to the server in response to the transmission request, and commands from the server Security measures.
한편, 상술한 본 발명은 또 다른 측면에서 컴퓨터 프로그램을 제공한다. 상기 컴퓨터 프로그램은, 클라이언트 디바이스의 프로세서에 의하여 메모리에 로딩되어 수행되는 컴퓨터 프로그램으로서, 상기 클라이언트 디바이스에서 발생하는 로그들을 수집하는 단계; 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하는 단계; 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하는 단계; 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계; 및 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하는 단계 및 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 단계 중 어느 하나의 단계를 수행하는 단계를 실행시킬 수 있다.
Meanwhile, the present invention described above provides a computer program in another aspect. The computer program is a computer program that is loaded and executed in a memory by a processor of a client device, the method comprising: collecting logs generated in the client device; Detecting an event requiring a security measure based on real-time analysis of the collected logs; Generating normalized log information corresponding to the event based on the logs corresponding to the detected event; Determining whether the detected event is a risk level event that requires a detailed analysis request from a server; And based on the determination, executing any one of the steps of transmitting a detailed analysis request including the normalized log information to the server and performing a security measure by the client device. You can.
이상 설명한 바와 같이, 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 수집된 로그들을 실시간으로 분석하여 클라이언트 디바이스 또는 서버에서 선택적으로 위험 이벤트에 대응하는 보안 조치를 수행함으로써 서버 및 네트워크 부하를 최소화하면서도 대처의 신속성은 향상시킬 수 있다.
As described above, by collecting the logs generated from the client device, and analyzing the collected logs in real time, the client device or the server selectively performs security measures corresponding to the risk event, thereby minimizing the server and network load while speeding up the response. Can improve.
도 1은 본 발명의 바람직한 실시예에 따른 로그 분석을 기반으로 하는 보안 모니터링 시스템의 구성을 도시하는 블록도이다.
도 2는 도 1에 도시되어 있는 클라이언트 디바이스의 상세 구성을 도시하는 블록도이다.
도 3은 도 2에 도시된 보안 모니터링부의 동작 흐름을 설명하기 위한 흐름도이다.
도 4는 실시간 로그 분석부에 의하여 문서 오픈 이벤트 시에 생성된 로그들에 대응하여 생성되는 로그 정보를 예시적으로 나타내는 예시도이다.
도 5는 클라이언트 디바이스에서 상세 분석 요청을 서버로 전송한 이후의 동작 과정을 설명하기 위한 흐름도이다.
도 6은 적어도 하나 이상의 클라이언트 디바이스와 연동하는 서버의 구성을 나타내는 블록도이다.1 is a block diagram showing the configuration of a security monitoring system based on log analysis according to a preferred embodiment of the present invention.
FIG. 2 is a block diagram showing a detailed configuration of the client device shown in FIG. 1.
3 is a flowchart for explaining the operation flow of the security monitoring unit shown in FIG. 2.
4 is an exemplary view illustrating log information generated in response to logs generated at the time of a document open event by the real-time log analysis unit.
5 is a flowchart illustrating an operation process after a detailed analysis request is sent from a client device to a server.
6 is a block diagram showing a configuration of a server interworking with at least one client device.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.The present invention can be applied to various changes and can have various embodiments, and specific embodiments will be illustrated in the drawings and described in detail. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.
제 1, 제 2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.Terms such as first and second may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from other components. For example, the first component may be referred to as a second component without departing from the scope of the present invention, and similarly, the second component may be referred to as a first component. The term and / or includes a combination of a plurality of related described items or any one of a plurality of related described items.
어떤 구성요소가 다른 구성요소에 '연결되어' 있다거나 '접속되어' 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 '직접 연결되어' 있다거나 '직접 접속되어' 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. When an element is said to be 'connected' or 'connected' to another component, it is understood that other components may be directly connected to or connected to the other component, but other components may exist in the middle. It should be. On the other hand, when a component is said to be 'directly connected' or 'directly connected' to another component, it should be understood that no other component exists in the middle.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, '포함하다' 또는 '가지다' 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in this application are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, terms such as 'include' or 'have' are intended to indicate that a feature, number, step, action, component, part, or combination thereof described in the specification exists, and that one or more other features are present. It should be understood that the existence or addition possibilities of fields or numbers, steps, operations, components, parts or combinations thereof are not excluded in advance.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by a person skilled in the art to which the present invention pertains. Terms such as those defined in a commonly used dictionary should be interpreted as having meanings consistent with meanings in the context of related technologies, and should not be interpreted as ideal or excessively formal meanings unless explicitly defined in the present application. Does not.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In order to facilitate the overall understanding in describing the present invention, the same reference numerals are used for the same components in the drawings, and duplicate descriptions for the same components are omitted.
도 1은 본 발명의 바람직한 실시예에 따른 로그 분석을 기반으로 하는 보안 모니터링 시스템의 구성을 도시하는 블록도이다.1 is a block diagram showing the configuration of a security monitoring system based on log analysis according to a preferred embodiment of the present invention.
도 1에 도시된 바와 같이, 본 발명의 바람직한 실시예에 따른 로그 분석을 기반으로 하는 보안 모니터링 시스템(1)은 적어도 하나의 클라이언트 디바이스(10) 및 서버(20)로서 구현될 수 있다. 예를 들어, 클라이언트 디바이스(10) 및 서버(20)를 포함하는 보안 모니터링 시스템(1)은 DRM(Digital Right Management)이 적용된 직장 내 인트라넷 등과 같이 보안이 필요한 로컬 네트워크를 기반으로 하는 시스템일 수 있다.As shown in FIG. 1, the
상기 클라이언트 디바이스(10)는 통신 네트워크를 통하여 서버(20)나 다른 디바이스와 연동할 수 있는 네트워크 컴퓨터 단말기이다. 예를 들어, 클라이언트 디바이스(10)는 PC(Personal Computer), 노트북, 태블릿 PC, 노트패드, 스마트폰 등일 수 있다. 클라이언트 디바이스(10)는, 도시되지는 않았으나 적어도, 연산을 수행하는 프로세서, 프로그램의 실행을 위한 데이터를 저장하는 메모리, 디지털 정보를 저장하는 하드디스크, 정보를 입력하기 위한 입력부, 정보를 표시하는 출력부, 통신망과 연동하기 위한 통신부 등을 포함할 수 있다.The
프로세서는 입력부를 통한 사용자의 요청에 따라 하드디스크에 저장된 소프트웨어를 메모리에 로딩하여 실행시킬 수 있다. 입력부는 예컨대 키보드, 가상 키보드 등일 수 있으며 출력부는 모니터 등과 같이 디스플레이 패널을 포함하는 정보 디스플레이 수단을 의미할 수 있다. 입력부와 출력부는 일체형 터치스크린으로 구현될 수도 있다.The processor may load and execute software stored in the hard disk in memory according to a user's request through the input unit. The input unit may be, for example, a keyboard or a virtual keyboard, and the output unit may mean information display means including a display panel such as a monitor. The input unit and the output unit may be implemented as an integrated touch screen.
상기 클라이언트 디바이스(10)는 윈도우, 애플, 안드로이드 등에서 제공하는 운영 체제를 통하여 운영되며, 워드 프로세서, 파워포인트, 엑셀, 아래한글, 포토샵, 오토 캐드 등 문서 또는 디지털 콘텐트를 사용하기 위한 콘텐트 소프트웨어, 인터넷에 접속 가능한 브라우저 등 다양한 어플리케이션들이 구비될 수 있다.The
이러한 클라이언트 디바이스(10)에는 보안 모니터링부가 구비된다. 상기 보안 모니터링부는 클라이언트 디바이스(10)에서 발생하는 로그들을 수집하고, 수집된 로그들을 실시간 분석하여 보안 조치가 필요한 이벤트를 감지지하고, 감지된 이벤트의 위험 수준에 따라 클라이언트 디바이스(10)에서 자체적으로 보안 조치를 수행하거나, 또는 서버(20)에 의뢰하여 상세 분석을 요청할 수 있다.The
서버(20)는 적어도 하나의 클라이언트 디바이스(10)와 연계하고 클라이언트 디바이스(10)의 상세 분석 요청에 응답하여 위험성이 있는 이벤트를 상세 분석하고 분석된 내용에 따라 대응 조치를 클라이언트 디바이스(10)로 명령한다. 서버(20)는 이와 같은 이벤트들의 정보를 데이터베이스화하여 저장 및 관리한다.The
도 2는 도 1에 도시되어 있는 클라이언트 디바이스(10)의 상세 구성을 도시하는 블록도이고, 도 3은 도 2에 도시된 보안 모니터링부의 동작 흐름을 설명하기 위한 흐름도이다.FIG. 2 is a block diagram showing a detailed configuration of the
도 2 및 도 3을 참조하면, 클라이언트 디바이스(10)에는 적어도 하나의 어플리케이션(AP) 및 보안 모니터링부(100)가 구비될 수 있다. 상기 보안 모니터링부(100)의 로그 수집부(110)는 클라이언트 디바이스(10)에서 발생하는 로그들을 수집할 수 있다(단계:S1). 예를 들어, 사용자가 입력부를 통하여 클라이언트 디바이스(10)에 어떠한 행위, 예컨대 어플리케이션을 이용하여 특정 문서에 대한 오픈, 수정, 저장, 복사 등을 요청하면, 클라이언트 디바이스(10)에는 그에 따른 로그들이 발생할 수 있다. 로그 수집부(110)은 이러한 로그들을 수집할 수 있다.2 and 3, at least one application (AP) and a
실시간 로그 분석부(120)는 수집된 로그들을 실시간 분석하여, 보안 조치가 필요한 이벤트를 감지할 수 있다(단계:S2). 구체적으로, 실시간 로그 분석부(120)는 클라이언트 디바이스(10)에서 수집된 로그들을 분석하여 기 저장된 룰 셋과 비교하고 룰 셋을 위반하는 이벤트를 감지할 수 있다. 상기 룰 셋은 클라이언트 디바이스(10)에서 발생할 수 있는 다양한 위험 시나리오를 정의하는 시나리오 세트일 수 있다.The real-time
예를 들어, 상기 룰 셋은 "XXX 부서의 디바이스에서 1분 동안 문서를 10개이상 열 수 없음", "10개 이상의 문서를 동시에 오픈시킬 수 없음", "10초동안 문서 5개 이상을 삭제할 수 없음", "000 권한 등급의 디바이스는 문서를 복사 또는 전송할 수 없음" 등과 같은 위험 시나리오를 포함할 수 있다.For example, the rule set "Can not open more than 10 documents in 1 minute on the device of the department XXX", "Cannot open more than 10 documents at the same time", "Delete more than 5 documents in 10 seconds "No device", "000 permission class device cannot copy or transmit document", and the like.
이러한 룰 셋은 디바이스의 권한 등급, 어플리케이션 종류, 대상 문서(파일), 엑세스 종류, 엑세스 카운트 값, 이벤트 발생 시간, 이벤트 발생 기간 등의 요소에 따라 다양하게 설정될 수 있다. 룰 셋은 서버(20)의 관리자가 클라이언트 매니저의 사용자 인터페이스를 통하여 설정할 수 있으며, 서버 저장소에 저장될 수 있다. 상기 룰 셋은 클라이언트 매니저로부터 클라이언트 디바이스(10)의 클라이언트 에이전트(160)로 전달된 후 클라이언트 디바이스(10)의 로컬 저장소(150)에 저장 및 관리될 수 있다.The rule set may be variously set according to factors such as a permission level of the device, an application type, a target document (file), an access type, an access count value, an event occurrence time, and an event occurrence period. The rule set may be set by the administrator of the
실시간 로그 분석부(120)는 이러한 룰 셋을 이용하여 보안 조치가 필요한 이벤트를 감지할 수 있다. 예를 들어, 클라이언트 디바이스(10)가 "XXX 부서" 소속으로 등록된 디바이스이고, 룰 셋이 "XXX 부서의 클라이언트 단말기에서 1분 동안 문서를 10개이상 열 수 없음"이라고 정하고 있다고 가정하고, 실시간 로그 분석을 통하여 클라이언트 디바이스(10)가 "10시 10분부터 1분동안 MS 워드로 15개의 문서를 오픈"하는 이벤트가 발생하고 있다면", 실시간 로그 분석부(120)는 상기 이벤트에 대하여 불법 행위가 발생되고 있어 보안 조치가 필요한 이벤트로 판단하여 상기 이벤트를 감지할 수 있다.The real-time
보안 조치가 필요한 이벤트가 감지되면, 실시간 로그 분석부(120)는 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성한다(단계:S3). 상기 로그 정보는 상기 수집된 로그들의 정보량보다 그 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함할 수 있다. 예를 들어, 상기 로그 정보는 이벤트와 연관된 어플리케이션 식별자, 대상 문서(파일)명, 액세스 종류, 액세스가 행해진 횟수를 나타내는 카운트 값, 이벤트 발생 시간, 이벤트 발생 기간 등을 포함할 수 있다.When an event requiring a security measure is detected, the real-time
도 4는 실시간 로그 분석부(120)에 의하여 문서 오픈 이벤트 시에 생성된 로그들에 대응하여 생성되는 로그 정보를 예시적으로 나타내는 예시도이다.FIG. 4 is an exemplary view illustrating log information generated in response to logs generated at the document open event by the real-time
도 4에 도시된 바와 같이, 예컨대 어플리케이션 "노트 패드"를 이용하여 "a.txt"라는 텍스트 문서를 오픈하면 상기 오픈 이벤트에 대응하여 도 4의 왼쪽에 도시된 리스트에 도시된 바와 같은 다수 개의 로그들이 발생하게 된다. 실시간 로그 분석부(120)는 상기 로그들을 정해진 형식으로 정규화하여 "Notepad.exe open c:\\a.txt"와 같은 로그 정보를 생성할 수 있다. 상기 로그 정보는 어플리케이션 "notepad.exe"에서 "a.txt" 문서를 오픈했다는 이벤트의 내역을 나타내며, 다수 개의 로그들을 간략한 로그 정보로 변환했으므로 그 정보량이 훨씬 줄어든 것을 알 수 있다.As shown in FIG. 4, when a text document “a.txt” is opened using, for example, the application “note pad”, a plurality of logs as shown in the list shown on the left of FIG. 4 corresponding to the open event Will occur. The real-time
앞서도 언급한 바와 같이, 상기 로그 정보는 이벤트와 연관된 어플리케이션 식별자, 대상 문서(파일)명, 액세스 종류, 액세스가 행해진 횟수를 나타내는 카운트 값, 이벤트 발생 시간, 이벤트 발생 기간 등을 포함할 수 있으므로, 만약 "10시 10분부터 1분동안 MS워드로 15개의 문서를 오픈"하는 이벤트가 발생했다면, 실시간 로그 분석부(120)는 상기 이벤트에 따라 발생되는 수백 개 이상의 로그 정보를 정규화하여, 예컨대 "MSword.exe open c:\\b.doc pm10:10:01", "MSword.exe open c:\\c.doc pm10:10:02", "MSword.exe open c:\\d.doc pm10:10:04", …, "MSword.exe open c:\\f.doc pm10:11:00" 등과 같이 15개의 오픈 이벤트의 내역을 포함하는 로그 정보를 생성할 수 있다. 상기 생성된 로그 정보는 감지된 이벤트의 식별 정보 및 수집된 로그들과 연계되어 로컬 저장소(160)에 저장 및 관리된다.As mentioned above, the log information may include an application identifier associated with the event, a target document (file) name, an access type, a count value indicating the number of times the access was performed, an event occurrence time, an event occurrence period, etc. If the event of "opening 15 documents in MS Word from 10:10 to 1 minute occurs", the real-time
이어서, 실시간 로그 분석부는 감지된 이벤트가 서버(20)에 상세 분석을 요청하여야 하는 위험 수준의 이벤트 인지를 판단할 수 있다(단계:S4). 즉, 실시간 로그 분석부(120)는 불법 행위의 위험성이 있는 것으로 판단되어 보안 조치가 필요한 이벤트로 감지된 이벤트에 대하여, 그 위험 수준에 따라 클라이언트 디바이스(10)에서 처리할지 아니면 서버(20) 단에 상세 분석을 요청할 것인지를 판단할 수 있다.Subsequently, the real-time log analysis unit may determine whether the detected event is a risk level event that requires requesting detailed analysis from the server 20 (step: S4). That is, the real-time
좀더 구체적으로, 실시간 로그 분석부(120)는 상기 이벤트에 대응하는 수집된 로그들을 분석하여 상기 이벤트의 위험 포인트를 생성하고, 이벤트 별 기준 포인트를 포함하는 기 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기분 포인트를 추출할 수 있다. 그리고 실시간 로그 분석부(120)는 상기 생성된 위험 포인트가 상기 추출된 기준 포인트 이상인지를 판단할 수 있다.More specifically, the real-time
이때 실시간 로그 분석부(120)는 위험 포인트가 기준 포인트 이상일 경우, 상기 이벤트가 서버(20)에 상세 분석을 요청해야 할 만큼 위험 수준이 높은 이벤트로 판단하고, 위험 포인트가 기준 포인트 미만일 경우, 상기 이벤트가 클라이언트 디바이스(10)에서 자체적으로 처리해도 될만한 상대적으로 낮은 위험 수준의 이벤트로 판단할 수 있다.In this case, the real-time
여기서 상기 이벤트에서 추출되는 위험 포인트는, 예컨대 액세스를 행한 횟수인 카운트 값일 수 있다. 상기 기준 포인트는 서버(20)에 상세 분석을 요청하여야 할 최소 위험 포인트일 수 있다. 이러한 기준 포인트는 로컬 저장소의 룰 세트에 테이블 형태로 포함되어 관리될 수 있다.Here, the risk point extracted from the event may be, for example, a count value that is the number of times access is performed. The reference point may be a minimum risk point for requesting detailed analysis from the
예를 들면, 만약, "10시 10분부터 1분동안 MS워드로 15개의 문서를 오픈"하는 이벤트에서 위험 포인트는 "15"일 수 있다. 만약 "1분 동안 MS워드를 사용한 문서 오픈 횟수"의 기준 포인트가 "12"라면, 상기 이벤트의 위험 포인트가 기준 포인트 이상이므로 실시간 로그 분석부(120)는 상기 이벤트는 서버(20)에 상세 분석을 요청해야 할 높은 위험 수준의 이벤트로 판정될 수 있다.For example, in the event of "opening 15 documents with MS Word for 10 to 1 minute from 10:10", the risk point may be "15". If the reference point of the "number of document openings using MS word for 1 minute" is "12", the risk point of the event is greater than or equal to the reference point, so the real-time
반면, "1분 동안 MS워드를 사용한 문서 오픈 횟수"의 기준 포인트가 "30"라고 가정하면, 위험 포인트는 기준 포인트 미만이므로 실시간 로그 분석부(120)는 상기 이벤트의 위험 수준이 상세 분석을 요청할 만큼의 위험 수준보다는 낮은 것으로 판정할 수 있다. 이 경우 클라이언트 디바이스(10)에서 상기 이벤트에 자체적으로 보안 조치한다.On the other hand, assuming that the reference point of "the number of document open times using an MS word for 1 minute" is "30", the risk point is less than the reference point, so the real-time
상기 판단의 결과 값은 로컬 제어부(140)로 전달될 수 있다. 로컬 제어부(140)는 실시간 로그 분석부(120)가 상기 이벤트에 대하여 서버(20)에 상세 분석을 요청할 것을 판단하는 경우, 상기 이벤트에 대응하는 정형화된 로그 정보를 포함하는 상세 분석 요청을 클라이언트 에이전트(160)를 통하여 서버(20)로 전송할 수 있다(단계:S6).The result value of the determination may be transmitted to the
반면, 로컬 제어부(140)는 실시간 로그 분석부(120)가 상기 이벤트에 대하여 클라이언트 디바이스(10)에서 자체적으로 처리해도 될만한 낮은 위험 수준의 이벤트로 판단할 경우, 클라이언트 디바이스(10) 단에서 자체적인 보안 조치를 수행할 수 있는 보안 프로세스를 사용하여 실시간으로 즉시 이벤트에 대응할 수 있다(단계:S5). 상기 보안 프로세스는 예를 들어, PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 등일 수 있다.On the other hand, if the
도 5는 클라이언트 디바이스(10)에서 상세 분석 요청을 서버(20)로 전송한 이후의 동작 과정을 설명하기 위한 흐름도이다.5 is a flowchart illustrating an operation process after the detailed analysis request is transmitted from the
도 5에 도시된 바와 같이, 상세 분석 요청을 서버(20)로 전송한 이후, 클라이언트 디바이스(10)는 서버(20)로부터 상기 이벤트에 대응하는 로그들을 전송하라는 요청을 수신할 수 있다(단계:S11). 이러한 서버(20)의 요청은 클라이언트 디바이스(10)의 클라이언트 에이전트(160)를 통하여 수신된 후 로컬 제어부(140)로 전달된다.5, after transmitting the detailed analysis request to the
그러면, 로컬 제어부(140)는 로컬 저장소(150)에 저장되어 있는 로그들을 추출하고(단계:S12), 추출된 로그들을 클라이언트 에이전트(160)를 통하여 서버(20)로 전송할 수 있다(단계:S13).Then, the
도 6은 적어도 하나 이상의 클라이언트 디바이스(10)와 연동하는 서버(20)의 구성을 나타내는 블록도이다.6 is a block diagram showing a configuration of a
도 6에 도시된 바와 같이, 서버(20)는 클라이언트 매니저(210), 상세 분석부(220), 서버 제어부(230) 및 서버 저장소(240) 등을 포함할 수 있다. 상기 클라이언트 매니저(210)는 클라이언트 디바이스(10)의 클라이언트 에이전트(160)와 연동하여 정보를 송수신할 수 있다. 상기 클라이언트 매니저(210)는 적어도 하나의 클라이언트 디바이스(10)들을 관리할 수 있다.As shown in FIG. 6, the
상세 분석부(220)는 클라이언트 디바이스(10)로부터 이벤트에 대한 상세 분석 요청이 수신되면, 상세 분석 요청에 포함되어 있는 로그 정보를 분석하여 관리자에게 사용자 인터페이스를 통하여 표시할 수 있다. 상세 분석부(220)는 상기 로그 정보에 대응하는 로그들을 클라이언트 디바이스(10)로 요청할 수 있으며, 클라이언트 디바이스(10)로부터 로그들이 수신되면 이를 서버 저장소(240)에 저장하고 상기 로그들을 상세 분석 알고리즘을 기반으로 분석할 수 있다.When a detailed analysis request for an event is received from the
서버 제어부(230)는 상기 상세 분석부(220)의 분석 결과를 기반으로 하여, 상기 이벤트에 대응하는 보안 조치를 결정하고, 결정된 보안 조치에 따라 클라이언트 디바이스(10)로 대응 지침을 전달할 수 있다. 서버 제어부(230)는 클라이언트 디바이스(10)에서 상세 분석을 요청한 이벤트의 이력, 상세 분석 분석 결과, 보안 조치 내역을 서버 저장소(240)에 저장하고 관리할 수 있다. 서버 저장소(240)에 저장된 이벤트의 이력, 상세 분석 결과, 보안 조치 내역은 사용자 인터페이스를 통하여 관리자가 조회 및 열람할 수 있다.The
이와 같이, 본 발명에 따르면, 클라이언트 디바이스(10)는 클라이언트 디바이스(10)에서 발생하는 로그들을 모니터링하여 불법적인 행위의 가능성과 관련 있는 이벤트를 감지하고, 이벤트의 위험 수준이 높지 않을 경우네는 실시간으로 클라이언트 디바이스(10)에서 자체적으로 보안 조치를 수행하고, 위험 수준이 높을 경우에만 서버(20)로 상세 분석을 요청한다. 따라서, 불법적인 행위의 가능성이 있는 모든 이벤트에 대해서 서버(20)가 관여하지 않아도 되고, 일부분의 이벤트에 대해서만 정보량이 적은 정규화된 로그 정보가 전송되므로 서버(20)의 로드가 획기적으로 감소하게 된다. 또한 위험 수준이 낮은 이벤트에 대해서는 클라이언트 디바이스(10)에서 자체적으로 보안 조치가 수행되므로 신속한 대응이 가능하다.As described above, according to the present invention, the
이상 본 발명에 대하여 그 바람직한 실시예를 예시하여 설명하였지만 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구 범위에 기재된 본 발명의 기술적 사항 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시켜 실시할 수 있음을 이해할 수 있을 것이다. 따라서, 본 발명의 앞으로의 실시예들의 변경은 본 발명의 기술을 벗어날 수 없을 것이다.
The preferred embodiments of the present invention have been exemplified and described, but those skilled in the art variously modify and change the present invention without departing from the technical details and scope of the present invention as set forth in the claims below. You can understand that you can do it. Therefore, changes in the embodiments of the present invention will not be able to escape the technology of the present invention.
AP : 어플리케이션
1 : 로그 분석을 기반으로 하는 보안 모니터링 시스템
10 : 클라이언트 디바이스
20 : 서버
100 : 보안 모니터링부
110 : 로그 수집부
120 : 실시간 로그 분석부
140 : 로컬 제어부
150 : 로컬 저장소
160 : 클라이언트 에이전트
210 : 클라이언트 매니터
220 : 상세 분석부
230 : 서버 제어부
240 : 서버 저장소AP: Application
1: Security monitoring system based on log analysis
10: client device
20: server
100: security monitoring unit
110: log collection unit
120: real-time log analysis unit
140: local control
150: local storage
160: client agent
210: client monitor
220: detailed analysis unit
230: Server control
240: server storage
Claims (25)
상기 클라이언트 디바이스에서 발생하는 로그들을 수집하는 단계;
수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하는 단계;
상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하는 단계;
상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계; 및
상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하는 단계 및 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 단계 중 어느 하나의 단계를 수행하는 단계를 포함하고,
상기 위험 수준이 정해진 수준 이상일 경우에만 상기 서버와 통신하는 것을 기반으로 상세 분석에 따른 보안 조치를 수행하고, 상기 위험 수준이 정해진 수준 미만일 경우 상기 클라이언트 디바이스 자체에 의한 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
In the security monitoring method performed by the client device,
Collecting logs generated at the client device;
Detecting an event requiring a security measure based on real-time analysis of the collected logs;
Generating normalized log information corresponding to the event based on the logs corresponding to the detected event;
Determining whether the detected event is a risk level event that requires a detailed analysis request from a server; And
Based on the determination, transmitting any one of the steps of transmitting a detailed analysis request including the normalized log information to the server and performing a security measure by the client device,
Characterized in that it performs a security measure according to a detailed analysis based on communication with the server only when the risk level is above a predetermined level, and performs a security measure by the client device itself when the risk level is below a predetermined level. Security monitoring method based on log analysis.
상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
The method of claim 1, wherein the step of detecting the event that requires the security measures,
And analyzing the collected logs in real time to determine whether the event is an event that violates a predetermined rule set, or security monitoring method based on log analysis.
The method of claim 1, wherein the log information has a smaller amount of information than the collected logs, and the security monitoring method based on log analysis, characterized in that it includes information indicating the history of the event.
어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함하는 것을 특징으로 하는 보안 모니터링 방법.
The method of claim 3, wherein the log information,
A security monitoring method comprising an application identifier, a target file name, an access type, a count value, and an event occurrence time.
상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하는 단계;
이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하는 단계; 및
상기 위험 포인트가 상기 기준 포인트 이상인지를 판단하는 단계를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
The method of claim 1, wherein determining whether the detected event is a risk level event that requires requesting analysis from the server,
Generating a risk point of the event based on the collected logs;
Querying a pre-stored table including reference points for each event and extracting reference points corresponding to the event; And
And determining whether the risk point is greater than or equal to the reference point.
상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행하는 단계를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
The method of claim 5, wherein performing any one of the steps,
If the risk point is greater than or equal to the reference point, a detailed analysis request including the normalized log information is transmitted to the server, and when the risk point is less than the reference point, the client device does not request an analysis to the server. Security monitoring method based on log analysis characterized in that it comprises the step of performing a security measure.
상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행하는 단계를 포함하고,
상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
The method of claim 1, wherein the step of performing the security measures,
And performing a security process provided in the client device,
The security process is a security monitoring method based on log analysis, characterized in that it comprises at least one of PC lock, document data backup, warning message display, access blocking.
상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하는 단계; 및
상기 서버에서 명령하는 보안 조치를 수행하는 단계를 더 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
The method of claim 1, further comprising: receiving a request to transmit collected logs in response to the log information from the server performing detailed analysis;
Transmitting the collected logs to the server in response to the transmission request; And
Security monitoring method based on the log analysis, characterized in that it further comprises the step of performing a security measure commanded by the server.
수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 실시간 로그 분석부; 및
상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나, 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 로컬 제어부를 포함하고,
상기 위험 수준이 정해진 수준 이상일 경우에만 상기 서버와 통신하는 것을 기반으로 상세 분석에 따른 보안 조치를 수행하고, 상기 위험 수준이 정해진 수준 미만일 경우 상기 클라이언트 디바이스 자체에 의한 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
A log collection unit for collecting logs generated in the client device;
Based on analyzing the collected logs in real time, an event requiring a security measure is detected, and normalized log information corresponding to the event is generated based on the logs corresponding to the detected event, and the detection A real-time log analysis unit to determine whether the event is at a risk level that requires a detailed analysis request from the server; And
Based on the determination, a detailed analysis request including the normalized log information is transmitted to the server, or a local control unit for performing security measures by the client device,
Characterized in that it performs a security measure according to a detailed analysis based on communication with the server only when the risk level is above a predetermined level, and performs a security measure by the client device itself when the risk level is below a predetermined level. Security monitoring device based on log analysis.
상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
The method of claim 9, wherein the real-time log analysis unit,
A security monitoring device based on log analysis, characterized in that the collected logs are analyzed in real time to determine whether the event is an event that violates a predetermined rule set.
The security monitoring device based on log analysis according to claim 9, wherein the log information includes information indicating a small amount of information than the collected logs and indicating the history of the event.
어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함하는 것을 특징으로 하는 보안 모니터링 장치.
The method of claim 11, wherein the log information,
A security monitoring device comprising an application identifier, a target file name, an access type, a count value, and an event occurrence time.
상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하고, 이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하고, 상기 위험 포인트가 상기 기준 포인트 이상인지를 판단하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
The method of claim 9, wherein the real-time log analysis unit,
Based on the collected logs, a risk point of the event is generated, a pre-stored table including a reference point for each event is searched to extract a reference point corresponding to the event, and whether the risk point is greater than or equal to the reference point Security monitoring device based on the log analysis, characterized in that to determine.
상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
The method of claim 13, wherein the local control unit,
If the risk point is greater than or equal to the reference point, a detailed analysis request including the normalized log information is transmitted to the server, and when the risk point is less than the reference point, the client device does not request an analysis to the server. Security monitoring device based on log analysis characterized by performing security measures.
상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
The method of claim 9, wherein the local control unit performs a security process provided in the client device,
The security process is a security monitoring device based on log analysis, characterized in that it comprises at least one of PC lock, document data backup, warning message display, access blocking.
상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하고, 상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하고, 상기 서버에서 명령하는 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
The method of claim 9, wherein the local control unit,
Receive a request to transmit the collected logs in response to the log information from the server performing detailed analysis, transmit the collected logs to the server in response to the transmission request, and perform security measures commanded by the server Security monitoring device based on the log analysis, characterized in that.
상기 클라이언트 디바이스와 연동하는 서버를 포함하고,
상기 클라이언트 디바이스는,
상기 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하고, 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나, 상기 클라이언트 디바이스에 의한 보안 조치를 수행하고,
상기 위험 수준이 정해진 수준 이상일 경우에만 상기 서버와 통신하는 것을 기반으로 상세 분석에 따른 보안 조치를 수행하고, 상기 위험 수준이 정해진 수준 미만일 경우 상기 클라이언트 디바이스 자체에 의한 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 시스템.
Client devices; And
And a server interworking with the client device,
The client device,
Based on collecting logs generated in the client device and analyzing the collected logs in real time, an event requiring a security measure is detected, and the event is responded to based on logs corresponding to the detected event Generates normalized log information, determines whether the detected event is a risk level event that requires a detailed analysis request from the server, and based on the determination, details including the normalized log information to the server Sending an analysis request, or performing security measures by the client device,
Characterized in that it performs a security measure according to a detailed analysis based on communication with the server only when the risk level is above a predetermined level, and performs a security measure by the client device itself when the risk level is below a predetermined level. Security monitoring system based on log analysis.
상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 시스템.
The method of claim 17, wherein the client device,
A security monitoring system based on log analysis, characterized in that the collected logs are analyzed in real time to determine whether the event is an event that violates a predetermined rule set.
The security monitoring system based on log analysis according to claim 17, wherein the log information comprises less information than the collected logs, and includes information indicating the history of the event.
어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함하는 것을 특징으로 하는 보안 모니터링 시스템.
The method of claim 19, wherein the log information,
Security monitoring system characterized by including the application identifier, the target file name, access type, count value, event occurrence time.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150160240A KR102098064B1 (en) | 2015-11-16 | 2015-11-16 | Method, Apparatus and System for Security Monitoring Based On Log Analysis |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150160240A KR102098064B1 (en) | 2015-11-16 | 2015-11-16 | Method, Apparatus and System for Security Monitoring Based On Log Analysis |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20170056876A KR20170056876A (en) | 2017-05-24 |
KR102098064B1 true KR102098064B1 (en) | 2020-04-07 |
Family
ID=59051362
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150160240A KR102098064B1 (en) | 2015-11-16 | 2015-11-16 | Method, Apparatus and System for Security Monitoring Based On Log Analysis |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102098064B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102658384B1 (en) * | 2021-10-12 | 2024-04-18 | 한전케이디엔주식회사 | A method and apparatus for In-house mobile security agent cyber attack response |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102098803B1 (en) * | 2018-03-22 | 2020-04-08 | 주식회사 이글루시큐리티 | Security Management System using Block Chain Technology and Method thereof |
KR102454948B1 (en) * | 2021-11-01 | 2022-10-17 | 주식회사 지엔 | IoT device test method and apparatus |
WO2023229065A1 (en) * | 2022-05-26 | 2023-11-30 | 시큐레터 주식회사 | Method and device for blocking malicious non-portable executable file by utilizing reversing engine and cdr engine |
KR102542720B1 (en) * | 2022-10-27 | 2023-06-14 | 주식회사 이노티움 | System for providing internet of behavior based intelligent data security platform service for zero trust security |
CN116366308B (en) * | 2023-03-10 | 2023-11-03 | 广东堡塔安全技术有限公司 | Cloud computing-based server security monitoring system |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101404882B1 (en) * | 2013-01-24 | 2014-06-11 | 주식회사 이스트시큐리티 | A system for sorting malicious code based on the behavior and a method thereof |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050095399A (en) | 2004-03-26 | 2005-09-29 | 현대자동차주식회사 | Prevention struture for vibration of torsion bar in a car |
KR101380015B1 (en) * | 2009-09-22 | 2014-04-14 | 한국전자통신연구원 | Collaborative Protection Method and Apparatus for Distributed Denial of Service |
US8806620B2 (en) * | 2009-12-26 | 2014-08-12 | Intel Corporation | Method and device for managing security events |
-
2015
- 2015-11-16 KR KR1020150160240A patent/KR102098064B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101404882B1 (en) * | 2013-01-24 | 2014-06-11 | 주식회사 이스트시큐리티 | A system for sorting malicious code based on the behavior and a method thereof |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102658384B1 (en) * | 2021-10-12 | 2024-04-18 | 한전케이디엔주식회사 | A method and apparatus for In-house mobile security agent cyber attack response |
Also Published As
Publication number | Publication date |
---|---|
KR20170056876A (en) | 2017-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Jung et al. | Ransomware detection method based on context-aware entropy analysis | |
KR102098064B1 (en) | Method, Apparatus and System for Security Monitoring Based On Log Analysis | |
US9628357B2 (en) | Service compliance enforcement using user activity monitoring and work request verification | |
JP5972401B2 (en) | Attack analysis system, linkage device, attack analysis linkage method, and program | |
US8291500B1 (en) | Systems and methods for automated malware artifact retrieval and analysis | |
EP2860657B1 (en) | Determining a security status of potentially malicious files | |
US20100192222A1 (en) | Malware detection using multiple classifiers | |
CN104956376A (en) | Method and technique for application and device control in a virtualized environment | |
TW201250512A (en) | Threat level assessment of applications | |
CA3123916C (en) | Microapp functionality recommendations with cross-application activity correlation | |
WO2019026310A1 (en) | Information processing device, information processing method, and information processing program | |
JP2021027505A (en) | Monitoring device, monitoring method, and monitoring program | |
JP2016192185A (en) | Spoofing detection system and spoofing detection method | |
US20210026952A1 (en) | System event detection system and method | |
Katilu et al. | Challenges of data provenance for cloud forensic investigations | |
US20240111809A1 (en) | System event detection system and method | |
JP5441043B2 (en) | Program, information processing apparatus, and information processing method | |
US20170286683A1 (en) | System and methods thereof for identification of suspicious system processes | |
JP2020194478A (en) | Abnormality detection system and abnormality detection method | |
JP6258189B2 (en) | Specific apparatus, specific method, and specific program | |
JP6053646B2 (en) | Monitoring device, information processing system, monitoring method, and program | |
JP2012173992A (en) | Theft state determination system and theft state determination program | |
KR102022984B1 (en) | Web Based SSO Service Method | |
JP7235109B2 (en) | Evaluation device, system, control method, and program | |
KR102611451B1 (en) | Intelligent gateway-based personal information impact assessment automatic management system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
X091 | Application refused [patent] | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant |