KR102098064B1 - Method, Apparatus and System for Security Monitoring Based On Log Analysis - Google Patents

Method, Apparatus and System for Security Monitoring Based On Log Analysis Download PDF

Info

Publication number
KR102098064B1
KR102098064B1 KR1020150160240A KR20150160240A KR102098064B1 KR 102098064 B1 KR102098064 B1 KR 102098064B1 KR 1020150160240 A KR1020150160240 A KR 1020150160240A KR 20150160240 A KR20150160240 A KR 20150160240A KR 102098064 B1 KR102098064 B1 KR 102098064B1
Authority
KR
South Korea
Prior art keywords
event
server
security
client device
analysis
Prior art date
Application number
KR1020150160240A
Other languages
Korean (ko)
Other versions
KR20170056876A (en
Inventor
이용진
유창훈
장석현
Original Assignee
주식회사 마크애니
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 마크애니 filed Critical 주식회사 마크애니
Priority to KR1020150160240A priority Critical patent/KR102098064B1/en
Publication of KR20170056876A publication Critical patent/KR20170056876A/en
Application granted granted Critical
Publication of KR102098064B1 publication Critical patent/KR102098064B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Abstract

로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템이 개시되어 있다. 로그 분석을 기반으로 하는 모니터링 방법은 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 감지된 이벤트에 대응하는 로그들을 기반으로 하여 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하고, 그 판단을 기반으로 하여, 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나 클라이언트 디바이스에 의한 보안 조치를 수행하는 것 중 어느 하나를 수행할 수 있다.A security monitoring method, apparatus and system based on log analysis is disclosed. The monitoring method based on log analysis is based on collecting logs generated from the client device and analyzing the logs in real time, detecting events requiring security measures, and based on logs corresponding to the detected events. Generates normalized log information corresponding to an event, determines whether the detected event is a risk level event that requires detailed analysis from the server, and based on the determination, includes the normalized log information to the server Either of sending a detailed analysis request or performing a security measure by a client device may be performed.

Description

로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템 {Method, Apparatus and System for Security Monitoring Based On Log Analysis}Security monitoring method, device and system based on log analysis {Method, Apparatus and System for Security Monitoring Based On Log Analysis}

본 발명은 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템에 관한 것으로서, 좀더 상세하게는, 클라이언트 디바이스에서 발생하는 행위에 따른 로그들을 수집하고, 수집된 로그들을 분석하여 선택적으로 서버에서 보안 조치를 수행하므로 서버의 로드는 줄이고 분석의 신속성과 신뢰성은 향상시킨 로그 분석 기반의 보안 모니터링 방법, 장치 및 시스템에 관한 것이다.
The present invention relates to a security monitoring method, apparatus, and system based on log analysis. More specifically, it collects logs according to actions occurring in a client device, analyzes the collected logs, and optionally performs security measures on the server. It is related to a log analysis-based security monitoring method, device, and system that reduces the load on the server and improves the speed and reliability of the analysis.

최근 들어, 인터넷 환경에서 해킹 등으로 인한 불법 행위가 빈번하게 발생하면서, 이러한 불법 행위를 검출하고 대응하기 위한 모니터링 시스템과 그 관련 기술들이 개발되고 있다. 예를 들어 모니터링 시스템은 클라이언트의 행위를 분석하고 그 행위가 불법으로 판별되면 해당 행위에 대한 방법 및 신고 등의 처리를 수행할 수 있다.2. Description of the Related Art In recent years, with the frequent occurrence of illegal acts due to hacking in the Internet environment, monitoring systems and related technologies for detecting and responding to such illegal acts have been developed. For example, the monitoring system may analyze a client's behavior and perform processing such as a method and report on the behavior when the behavior is determined to be illegal.

이때, 클라이언트 디바이스의 행위를 분석하기 위한 기반으로서 클라이언트 디바이스에서 발생하는 로그들을 사용할 수 있다. 종래의 로그 분석은 배치 방식을 사용하거나 전용 하드웨어에 의존하고 있다. 그런데 이러한 경우, 실시간 처리 방식이 아니므로 불법 행위에 대한 신속한 대응이 어렵고 비용이 많이 소모된다.In this case, logs generated in the client device may be used as a basis for analyzing the behavior of the client device. Conventional log analysis uses a batch method or relies on dedicated hardware. However, in this case, since it is not a real-time processing method, it is difficult to respond promptly to illegal activities and is expensive.

종래의 다른 방식으로 클라이언트 디바이스의 로그를 일일이 서버에서 수집한 후 분석하고 그 결과 및 대응 지침을 클라이언트 디바이스로 전송하는 방식이 있으나 이 경우에도 서버 및 네트워크의 로드가 너무 많고 대응이 느려지는 문제점이 있었다.There is a method in which the log of the client device is collected and analyzed by the server in a different way in the related art, and the result and the response guidelines are transmitted to the client device. .

따라서, 서버 및 네트워크의 부하를 최소화하면서도 클라이언트 디바이스에서 발생하는 이상 징후를 실시간으로 용이하게 판단 및 대처할 수 있는 새로운 기술의 개발이 시급히 요구되고 있다.
Accordingly, there is an urgent need to develop a new technology capable of easily determining and responding to abnormal signs occurring in a client device in real time while minimizing the load on the server and the network.

한국 공개특허공보 제2005-0095399호Korean Patent Publication No. 2005-0095399

본 발명은 이러한 문제점을 해결하기 위한 것으로서, 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 수집된 로그들을 실시간으로 분석하여 클라이언트 디바이스 또는 서버에서 선택적으로 위험 이벤트에 대응하는 보안 조치를 수행함으로써 서버 및 네트워크 부하를 최소화하면서도 대처의 신속성은 향상시킨 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템을 제공하는데 그 목적이 있다.
The present invention is to solve such a problem, collects logs generated in the client device, analyzes the collected logs in real time, and performs a security measure corresponding to a critical event on the client device or server to perform server and network load The objective is to provide a security monitoring method, device, and system based on improved log analysis while minimizing the response time.

이러한 목적을 달성하기 위하여 본 발명은 일 측면(Aspect)에서 로그 분석을 기반으로 하는 보안 모니터링 방법을 제공한다. 상기 로그 분석을 기반으로 하는 보안 모니터링 방법은, 클라이언트 디바이스에 의하여 수행되는 보안 모니터링 방법에 있어서, 상기 클라이언트 디바이스에서 발생하는 로그들을 수집하는 단계; 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하는 단계; 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하는 단계; 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계; 및 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하는 단계 및 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 단계 중 어느 하나의 단계를 수행하는 단계를 포함한다.In order to achieve this object, the present invention provides a security monitoring method based on log analysis in one aspect. A security monitoring method based on the log analysis includes: a security monitoring method performed by a client device, comprising: collecting logs generated in the client device; Detecting an event requiring a security measure based on real-time analysis of the collected logs; Generating normalized log information corresponding to the event based on the logs corresponding to the detected event; Determining whether the detected event is a risk level event that requires a detailed analysis request from a server; And based on the determination, transmitting any one of the steps of transmitting a detailed analysis request including the normalized log information to the server and performing security measures by the client device. .

상기 보안 조치가 필요한 이벤트를 감지하는 단계는, 상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단하는 단계를 포함할 수 있다.The step of detecting an event requiring the security measure may include analyzing the collected logs in real time to determine whether the event is an event that violates a predetermined rule set.

상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함할 수 있다. 상기 로그 정보는, 어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함할 수 있다.The log information may have information smaller than the collected logs, and may include information indicating a history of the event. The log information may include an application identifier, a target file name, an access type, a count value, and an event occurrence time.

상기 감지된 이벤트가 상기 서버에 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계는, 상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하는 단계; 이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하는 단계; 및 상기 위험 포인트가 상기 기준 포인트 이상인지를 판단하는 단계를 포함할 수 있다.Determining whether the detected event is a risk level event that requires requesting analysis from the server includes: generating a risk point of the event based on the collected logs; Querying a pre-stored table including reference points for each event and extracting reference points corresponding to the event; And determining whether the risk point is greater than or equal to the reference point.

상기 어느 하나의 단계를 수행하는 단계는, 상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행하는 단계를 포함할 수도 있다.In the step of performing any one of the steps, when the risk point is greater than or equal to the reference point, a detailed analysis request including the normalized log information is transmitted to the server, and when the risk point is less than the reference point, the server It may include the step of performing its own security measures by the client device without requesting an analysis.

상기 보안 조치를 수행하는 단계는, 상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행하는 단계를 포함할 수 있다. 상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함할 수 있다.The step of performing the security measure may include performing a security process provided in the client device. The security process may include at least one of locking a PC, backing up document data, displaying a warning message, and blocking access.

상기 로그 분석을 기반으로 하는 보안 모니터링 시스템은, 상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하는 단계; 상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하는 단계; 및 상기 서버에서 명령하는 보안 조치를 수행하는 단계를 더 포함할 수도 있다.The security monitoring system based on the log analysis comprises: receiving a request to transmit collected logs in response to the log information from the server performing detailed analysis; Transmitting the collected logs to the server in response to the transmission request; And performing security measures instructed by the server.

한편, 상술한 본 발명의 목적을 달성하기 위하여 본 발명은 다른 측면에서 로그 분석을 기반으로 하는 보안 모니터링 장치를 제공한다. 상기 보안 모니터링 장치는, 클라이언트 디바이스에서 발생하는 로그들을 수집하는 로그 수집부; 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 실시간 로그 분석부; 및 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나, 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 로컬 제어부를 포함할 수 있다.On the other hand, in order to achieve the object of the present invention described above, the present invention provides a security monitoring device based on log analysis in another aspect. The security monitoring apparatus includes: a log collection unit that collects logs generated in the client device; Based on analyzing the collected logs in real time, an event requiring a security measure is detected, and normalized log information corresponding to the event is generated based on the logs corresponding to the detected event, and the detection A real-time log analysis unit to determine whether the event is at a risk level that requires a detailed analysis request from the server; And a local control unit that transmits a detailed analysis request including the normalized log information to the server based on the determination, or performs a security measure by the client device.

상기 실시간 로그 분석부는, 상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단할 수 있다. 상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함할 수 있다. 상기 로그 정보는, 어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함할 수 있다.The real-time log analysis unit may analyze the collected logs in real time to determine whether the event is an event that violates a predetermined rule set. The log information may have information smaller than the collected logs, and may include information indicating a history of the event. The log information may include an application identifier, a target file name, an access type, a count value, and an event occurrence time.

상기 실시간 로그 분석부는, 상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하고, 이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하고, 상기 위험 포인트가 상기 기준 포인트 이상인지를 판단할 수 있다.The real-time log analysis unit generates a risk point of the event based on the collected logs, retrieves a pre-stored table including a reference point for each event, extracts a reference point corresponding to the event, and the risk point It may be determined whether or not is equal to or greater than the reference point.

상기 로컬 제어부는, 상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행할 수 있다.The local control unit transmits a detailed analysis request including the normalized log information to the server when the risk point is greater than or equal to the reference point, and when the risk point is less than the reference point, the client without requesting analysis to the server You can perform your own security measures by the device.

상기 로컬 제어부는 상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행할 수 있다. 상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함할 수 있다.The local control unit may perform a security process provided in the client device. The security process may include at least one of locking a PC, backing up document data, displaying a warning message, and blocking access.

상기 로컬 제어부는, 상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하고, 상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하고, 상기 서버에서 명령하는 보안 조치를 수행할 수 있다.The local control unit receives a request for transmission of logs collected corresponding to the log information from the server performing detailed analysis, transmits the collected logs to the server in response to the transmission request, and commands from the server Security measures.

한편, 상술한 본 발명의 목적을 달성하기 위하여 본 발명은 또 다른 측면에서 로그 분석을 기반으로 하는 보안 모니터링 시스템을 제공한다. 상기 로그 분석을 기반으로 하는 보안 모니터링 시스템은, 클라이언트 디바이스 및 상기 클라이언트 디바이스와 연동하는 서버를 포함할 수 있다.On the other hand, in order to achieve the object of the present invention described above, the present invention provides a security monitoring system based on log analysis in another aspect. The security monitoring system based on the log analysis may include a client device and a server interworking with the client device.

상기 클라이언트 디바이스는, 상기 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하고, 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나, 상기 클라이언트 디바이스에 의한 보안 조치를 수행할 수 있다.The client device detects an event requiring a security measure based on collecting logs generated from the client device and analyzing the collected logs in real time, and based on logs corresponding to the detected event. To generate normalized log information corresponding to the event, to determine whether the detected event is a risk level event that requires detailed analysis to the server, and based on the determination, the normalized log to the server A detailed analysis request including information may be transmitted, or a security measure by the client device may be performed.

상기 클라이언트 디바이스는, 상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단할 수 있다. 상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함할 수 있다. 상기 로그 정보는, 어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함할 수도 있다.The client device may analyze the collected logs in real time to determine whether the event is an event that violates a predetermined rule set. The log information may have information smaller than the collected logs, and may include information indicating a history of the event. The log information may include an application identifier, a target file name, an access type, a count value, and an event occurrence time.

상기 클라이언트 디바이스는, 상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하고, 이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하고, 상기 위험 포인트가 상기 기준 포인트 이상인지를 판단할 수 있다.The client device generates a risk point of the event based on the collected logs, retrieves a pre-stored table including a reference point for each event, extracts a reference point corresponding to the event, and the risk point It may be determined whether or not the reference point is greater than or equal to.

상기 클라이언트 디바이스는, 상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행할 수 있다.The client device sends a detailed analysis request including the normalized log information to the server when the risk point is greater than or equal to the reference point, and when the risk point is less than the reference point, the client without an analysis request to the server You can perform your own security measures by the device.

상기 클라이언트 디바이스는, 상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행할 수 있다. 상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함할 수 있다.The client device may perform a security process provided in the client device. The security process may include at least one of locking a PC, backing up document data, displaying a warning message, and blocking access.

상기 클라이언트 디바이스는, 상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하고, 상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하고, 상기 서버에서 명령하는 보안 조치를 수행할 수 있다.The client device receives a request for transmission of logs collected corresponding to the log information from the server performing detailed analysis, transmits the collected logs to the server in response to the transmission request, and commands from the server Security measures.

한편, 상술한 본 발명은 또 다른 측면에서 컴퓨터 프로그램을 제공한다. 상기 컴퓨터 프로그램은, 클라이언트 디바이스의 프로세서에 의하여 메모리에 로딩되어 수행되는 컴퓨터 프로그램으로서, 상기 클라이언트 디바이스에서 발생하는 로그들을 수집하는 단계; 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하는 단계; 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하는 단계; 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계; 및 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하는 단계 및 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 단계 중 어느 하나의 단계를 수행하는 단계를 실행시킬 수 있다.
Meanwhile, the present invention described above provides a computer program in another aspect. The computer program is a computer program that is loaded and executed in a memory by a processor of a client device, the method comprising: collecting logs generated in the client device; Detecting an event requiring a security measure based on real-time analysis of the collected logs; Generating normalized log information corresponding to the event based on the logs corresponding to the detected event; Determining whether the detected event is a risk level event that requires a detailed analysis request from a server; And based on the determination, executing any one of the steps of transmitting a detailed analysis request including the normalized log information to the server and performing a security measure by the client device. You can.

이상 설명한 바와 같이, 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 수집된 로그들을 실시간으로 분석하여 클라이언트 디바이스 또는 서버에서 선택적으로 위험 이벤트에 대응하는 보안 조치를 수행함으로써 서버 및 네트워크 부하를 최소화하면서도 대처의 신속성은 향상시킬 수 있다.
As described above, by collecting the logs generated from the client device, and analyzing the collected logs in real time, the client device or the server selectively performs security measures corresponding to the risk event, thereby minimizing the server and network load while speeding up the response. Can improve.

도 1은 본 발명의 바람직한 실시예에 따른 로그 분석을 기반으로 하는 보안 모니터링 시스템의 구성을 도시하는 블록도이다.
도 2는 도 1에 도시되어 있는 클라이언트 디바이스의 상세 구성을 도시하는 블록도이다.
도 3은 도 2에 도시된 보안 모니터링부의 동작 흐름을 설명하기 위한 흐름도이다.
도 4는 실시간 로그 분석부에 의하여 문서 오픈 이벤트 시에 생성된 로그들에 대응하여 생성되는 로그 정보를 예시적으로 나타내는 예시도이다.
도 5는 클라이언트 디바이스에서 상세 분석 요청을 서버로 전송한 이후의 동작 과정을 설명하기 위한 흐름도이다.
도 6은 적어도 하나 이상의 클라이언트 디바이스와 연동하는 서버의 구성을 나타내는 블록도이다.1 is a block diagram showing the configuration of a security monitoring system based on log analysis according to a preferred embodiment of the present invention.
FIG. 2 is a block diagram showing a detailed configuration of the client device shown in FIG. 1.
3 is a flowchart for explaining the operation flow of the security monitoring unit shown in FIG. 2.
4 is an exemplary view illustrating log information generated in response to logs generated at the time of a document open event by the real-time log analysis unit.
5 is a flowchart illustrating an operation process after a detailed analysis request is sent from a client device to a server.
6 is a block diagram showing a configuration of a server interworking with at least one client device.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.The present invention can be applied to various changes and can have various embodiments, and specific embodiments will be illustrated in the drawings and described in detail. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.

제 1, 제 2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.Terms such as first and second may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from other components. For example, the first component may be referred to as a second component without departing from the scope of the present invention, and similarly, the second component may be referred to as a first component. The term and / or includes a combination of a plurality of related described items or any one of a plurality of related described items.

어떤 구성요소가 다른 구성요소에 '연결되어' 있다거나 '접속되어' 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 '직접 연결되어' 있다거나 '직접 접속되어' 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. When an element is said to be 'connected' or 'connected' to another component, it is understood that other components may be directly connected to or connected to the other component, but other components may exist in the middle. It should be. On the other hand, when a component is said to be 'directly connected' or 'directly connected' to another component, it should be understood that no other component exists in the middle.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, '포함하다' 또는 '가지다' 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in this application are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, terms such as 'include' or 'have' are intended to indicate that a feature, number, step, action, component, part, or combination thereof described in the specification exists, and that one or more other features are present. It should be understood that the existence or addition possibilities of fields or numbers, steps, operations, components, parts or combinations thereof are not excluded in advance.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by a person skilled in the art to which the present invention pertains. Terms such as those defined in a commonly used dictionary should be interpreted as having meanings consistent with meanings in the context of related technologies, and should not be interpreted as ideal or excessively formal meanings unless explicitly defined in the present application. Does not.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In order to facilitate the overall understanding in describing the present invention, the same reference numerals are used for the same components in the drawings, and duplicate descriptions for the same components are omitted.

도 1은 본 발명의 바람직한 실시예에 따른 로그 분석을 기반으로 하는 보안 모니터링 시스템의 구성을 도시하는 블록도이다.1 is a block diagram showing the configuration of a security monitoring system based on log analysis according to a preferred embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명의 바람직한 실시예에 따른 로그 분석을 기반으로 하는 보안 모니터링 시스템(1)은 적어도 하나의 클라이언트 디바이스(10) 및 서버(20)로서 구현될 수 있다. 예를 들어, 클라이언트 디바이스(10) 및 서버(20)를 포함하는 보안 모니터링 시스템(1)은 DRM(Digital Right Management)이 적용된 직장 내 인트라넷 등과 같이 보안이 필요한 로컬 네트워크를 기반으로 하는 시스템일 수 있다.As shown in FIG. 1, the security monitoring system 1 based on log analysis according to a preferred embodiment of the present invention can be implemented as at least one client device 10 and server 20. For example, the security monitoring system 1 including the client device 10 and the server 20 may be a system based on a local network requiring security, such as an intranet in the workplace to which Digital Right Management (DRM) is applied. .

상기 클라이언트 디바이스(10)는 통신 네트워크를 통하여 서버(20)나 다른 디바이스와 연동할 수 있는 네트워크 컴퓨터 단말기이다. 예를 들어, 클라이언트 디바이스(10)는 PC(Personal Computer), 노트북, 태블릿 PC, 노트패드, 스마트폰 등일 수 있다. 클라이언트 디바이스(10)는, 도시되지는 않았으나 적어도, 연산을 수행하는 프로세서, 프로그램의 실행을 위한 데이터를 저장하는 메모리, 디지털 정보를 저장하는 하드디스크, 정보를 입력하기 위한 입력부, 정보를 표시하는 출력부, 통신망과 연동하기 위한 통신부 등을 포함할 수 있다.The client device 10 is a network computer terminal that can interwork with the server 20 or other devices through a communication network. For example, the client device 10 may be a personal computer (PC), a notebook, a tablet PC, a notepad, a smartphone, and the like. The client device 10 is not shown, but at least, a processor for performing an operation, a memory for storing data for execution of a program, a hard disk for storing digital information, an input unit for inputting information, and an output for displaying information It may include a communication unit for interworking with the communication network.

프로세서는 입력부를 통한 사용자의 요청에 따라 하드디스크에 저장된 소프트웨어를 메모리에 로딩하여 실행시킬 수 있다. 입력부는 예컨대 키보드, 가상 키보드 등일 수 있으며 출력부는 모니터 등과 같이 디스플레이 패널을 포함하는 정보 디스플레이 수단을 의미할 수 있다. 입력부와 출력부는 일체형 터치스크린으로 구현될 수도 있다.The processor may load and execute software stored in the hard disk in memory according to a user's request through the input unit. The input unit may be, for example, a keyboard or a virtual keyboard, and the output unit may mean information display means including a display panel such as a monitor. The input unit and the output unit may be implemented as an integrated touch screen.

상기 클라이언트 디바이스(10)는 윈도우, 애플, 안드로이드 등에서 제공하는 운영 체제를 통하여 운영되며, 워드 프로세서, 파워포인트, 엑셀, 아래한글, 포토샵, 오토 캐드 등 문서 또는 디지털 콘텐트를 사용하기 위한 콘텐트 소프트웨어, 인터넷에 접속 가능한 브라우저 등 다양한 어플리케이션들이 구비될 수 있다.The client device 10 is operated through an operating system provided by Windows, Apple, Android, etc., and content software for using documents or digital content, such as word processors, PowerPoint, Excel, Korean, Photoshop, and Autocad, the Internet Various applications, such as a browser that can be connected to, may be provided.

이러한 클라이언트 디바이스(10)에는 보안 모니터링부가 구비된다. 상기 보안 모니터링부는 클라이언트 디바이스(10)에서 발생하는 로그들을 수집하고, 수집된 로그들을 실시간 분석하여 보안 조치가 필요한 이벤트를 감지지하고, 감지된 이벤트의 위험 수준에 따라 클라이언트 디바이스(10)에서 자체적으로 보안 조치를 수행하거나, 또는 서버(20)에 의뢰하여 상세 분석을 요청할 수 있다.The client device 10 is equipped with a security monitoring unit. The security monitoring unit collects logs generated in the client device 10, analyzes the collected logs in real time, detects an event requiring a security measure, and automatically detects the event in need of the detected event, according to the level of risk of the detected event Security measures may be performed, or detailed analysis may be requested by requesting the server 20.

서버(20)는 적어도 하나의 클라이언트 디바이스(10)와 연계하고 클라이언트 디바이스(10)의 상세 분석 요청에 응답하여 위험성이 있는 이벤트를 상세 분석하고 분석된 내용에 따라 대응 조치를 클라이언트 디바이스(10)로 명령한다. 서버(20)는 이와 같은 이벤트들의 정보를 데이터베이스화하여 저장 및 관리한다.The server 20 associates with at least one client device 10 and analyzes a risky event in detail in response to a detailed analysis request of the client device 10 and responds to the client device 10 according to the analyzed content To order. The server 20 stores and manages the information of these events in a database.

도 2는 도 1에 도시되어 있는 클라이언트 디바이스(10)의 상세 구성을 도시하는 블록도이고, 도 3은 도 2에 도시된 보안 모니터링부의 동작 흐름을 설명하기 위한 흐름도이다.FIG. 2 is a block diagram showing a detailed configuration of the client device 10 shown in FIG. 1, and FIG. 3 is a flowchart for explaining the operation flow of the security monitoring unit shown in FIG. 2.

도 2 및 도 3을 참조하면, 클라이언트 디바이스(10)에는 적어도 하나의 어플리케이션(AP) 및 보안 모니터링부(100)가 구비될 수 있다. 상기 보안 모니터링부(100)의 로그 수집부(110)는 클라이언트 디바이스(10)에서 발생하는 로그들을 수집할 수 있다(단계:S1). 예를 들어, 사용자가 입력부를 통하여 클라이언트 디바이스(10)에 어떠한 행위, 예컨대 어플리케이션을 이용하여 특정 문서에 대한 오픈, 수정, 저장, 복사 등을 요청하면, 클라이언트 디바이스(10)에는 그에 따른 로그들이 발생할 수 있다. 로그 수집부(110)은 이러한 로그들을 수집할 수 있다.2 and 3, at least one application (AP) and a security monitoring unit 100 may be provided in the client device 10. The log collection unit 110 of the security monitoring unit 100 may collect logs generated in the client device 10 (step: S1). For example, when a user requests an action, such as an application, to open, modify, store, or copy a specific document to the client device 10 through the input unit, the client device 10 generates logs accordingly. You can. The log collection unit 110 may collect these logs.

실시간 로그 분석부(120)는 수집된 로그들을 실시간 분석하여, 보안 조치가 필요한 이벤트를 감지할 수 있다(단계:S2). 구체적으로, 실시간 로그 분석부(120)는 클라이언트 디바이스(10)에서 수집된 로그들을 분석하여 기 저장된 룰 셋과 비교하고 룰 셋을 위반하는 이벤트를 감지할 수 있다. 상기 룰 셋은 클라이언트 디바이스(10)에서 발생할 수 있는 다양한 위험 시나리오를 정의하는 시나리오 세트일 수 있다.The real-time log analysis unit 120 may analyze the collected logs in real time to detect an event requiring a security measure (step: S2). Specifically, the real-time log analysis unit 120 may analyze logs collected from the client device 10 to compare with a previously stored rule set and detect an event that violates the rule set. The rule set may be a scenario set that defines various risk scenarios that may occur in the client device 10.

예를 들어, 상기 룰 셋은 "XXX 부서의 디바이스에서 1분 동안 문서를 10개이상 열 수 없음", "10개 이상의 문서를 동시에 오픈시킬 수 없음", "10초동안 문서 5개 이상을 삭제할 수 없음", "000 권한 등급의 디바이스는 문서를 복사 또는 전송할 수 없음" 등과 같은 위험 시나리오를 포함할 수 있다.For example, the rule set "Can not open more than 10 documents in 1 minute on the device of the department XXX", "Cannot open more than 10 documents at the same time", "Delete more than 5 documents in 10 seconds "No device", "000 permission class device cannot copy or transmit document", and the like.

이러한 룰 셋은 디바이스의 권한 등급, 어플리케이션 종류, 대상 문서(파일), 엑세스 종류, 엑세스 카운트 값, 이벤트 발생 시간, 이벤트 발생 기간 등의 요소에 따라 다양하게 설정될 수 있다. 룰 셋은 서버(20)의 관리자가 클라이언트 매니저의 사용자 인터페이스를 통하여 설정할 수 있으며, 서버 저장소에 저장될 수 있다. 상기 룰 셋은 클라이언트 매니저로부터 클라이언트 디바이스(10)의 클라이언트 에이전트(160)로 전달된 후 클라이언트 디바이스(10)의 로컬 저장소(150)에 저장 및 관리될 수 있다.The rule set may be variously set according to factors such as a permission level of the device, an application type, a target document (file), an access type, an access count value, an event occurrence time, and an event occurrence period. The rule set may be set by the administrator of the server 20 through the user interface of the client manager, and may be stored in the server repository. The rule set may be stored and managed in the local storage 150 of the client device 10 after being transferred from the client manager to the client agent 160 of the client device 10.

실시간 로그 분석부(120)는 이러한 룰 셋을 이용하여 보안 조치가 필요한 이벤트를 감지할 수 있다. 예를 들어, 클라이언트 디바이스(10)가 "XXX 부서" 소속으로 등록된 디바이스이고, 룰 셋이 "XXX 부서의 클라이언트 단말기에서 1분 동안 문서를 10개이상 열 수 없음"이라고 정하고 있다고 가정하고, 실시간 로그 분석을 통하여 클라이언트 디바이스(10)가 "10시 10분부터 1분동안 MS 워드로 15개의 문서를 오픈"하는 이벤트가 발생하고 있다면", 실시간 로그 분석부(120)는 상기 이벤트에 대하여 불법 행위가 발생되고 있어 보안 조치가 필요한 이벤트로 판단하여 상기 이벤트를 감지할 수 있다.The real-time log analysis unit 120 may detect an event requiring a security measure using this rule set. For example, assuming that the client device 10 is a device registered to belong to the "XXX department", and the rule set determines that "10 or more documents cannot be opened in 1 minute in the client terminal of the XXX department". If an event occurs that the client device 10 "opens 15 documents in MS Word from 10:10 to 1 minute" through log analysis, "the real-time log analysis unit 120 illegally acts on the event Because it is occurring, it can be determined as an event that requires security measures to detect the event.

보안 조치가 필요한 이벤트가 감지되면, 실시간 로그 분석부(120)는 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성한다(단계:S3). 상기 로그 정보는 상기 수집된 로그들의 정보량보다 그 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함할 수 있다. 예를 들어, 상기 로그 정보는 이벤트와 연관된 어플리케이션 식별자, 대상 문서(파일)명, 액세스 종류, 액세스가 행해진 횟수를 나타내는 카운트 값, 이벤트 발생 시간, 이벤트 발생 기간 등을 포함할 수 있다.When an event requiring a security measure is detected, the real-time log analysis unit 120 generates normalized log information corresponding to the event based on the logs corresponding to the detected event (step: S3). The log information may have information smaller than the information amount of the collected logs, and may include information indicating the history of the event. For example, the log information may include an application identifier associated with the event, a target document (file) name, an access type, a count value indicating the number of times the access was performed, an event occurrence time, an event occurrence period, and the like.

도 4는 실시간 로그 분석부(120)에 의하여 문서 오픈 이벤트 시에 생성된 로그들에 대응하여 생성되는 로그 정보를 예시적으로 나타내는 예시도이다.FIG. 4 is an exemplary view illustrating log information generated in response to logs generated at the document open event by the real-time log analysis unit 120.

도 4에 도시된 바와 같이, 예컨대 어플리케이션 "노트 패드"를 이용하여 "a.txt"라는 텍스트 문서를 오픈하면 상기 오픈 이벤트에 대응하여 도 4의 왼쪽에 도시된 리스트에 도시된 바와 같은 다수 개의 로그들이 발생하게 된다. 실시간 로그 분석부(120)는 상기 로그들을 정해진 형식으로 정규화하여 "Notepad.exe open c:\\a.txt"와 같은 로그 정보를 생성할 수 있다. 상기 로그 정보는 어플리케이션 "notepad.exe"에서 "a.txt" 문서를 오픈했다는 이벤트의 내역을 나타내며, 다수 개의 로그들을 간략한 로그 정보로 변환했으므로 그 정보량이 훨씬 줄어든 것을 알 수 있다.As shown in FIG. 4, when a text document “a.txt” is opened using, for example, the application “note pad”, a plurality of logs as shown in the list shown on the left of FIG. 4 corresponding to the open event Will occur. The real-time log analysis unit 120 may generate log information such as "Notepad.exe open c: \\ a.txt" by normalizing the logs in a predetermined format. The log information represents the history of the event that the "a.txt" document was opened in the application "notepad.exe", and it can be seen that the amount of information is much reduced because a plurality of logs are converted into brief log information.

앞서도 언급한 바와 같이, 상기 로그 정보는 이벤트와 연관된 어플리케이션 식별자, 대상 문서(파일)명, 액세스 종류, 액세스가 행해진 횟수를 나타내는 카운트 값, 이벤트 발생 시간, 이벤트 발생 기간 등을 포함할 수 있으므로, 만약 "10시 10분부터 1분동안 MS워드로 15개의 문서를 오픈"하는 이벤트가 발생했다면, 실시간 로그 분석부(120)는 상기 이벤트에 따라 발생되는 수백 개 이상의 로그 정보를 정규화하여, 예컨대 "MSword.exe open c:\\b.doc pm10:10:01", "MSword.exe open c:\\c.doc pm10:10:02", "MSword.exe open c:\\d.doc pm10:10:04", …, "MSword.exe open c:\\f.doc pm10:11:00" 등과 같이 15개의 오픈 이벤트의 내역을 포함하는 로그 정보를 생성할 수 있다. 상기 생성된 로그 정보는 감지된 이벤트의 식별 정보 및 수집된 로그들과 연계되어 로컬 저장소(160)에 저장 및 관리된다.As mentioned above, the log information may include an application identifier associated with the event, a target document (file) name, an access type, a count value indicating the number of times the access was performed, an event occurrence time, an event occurrence period, etc. If the event of "opening 15 documents in MS Word from 10:10 to 1 minute occurs", the real-time log analysis unit 120 normalizes hundreds of log information generated according to the event, for example, "MSword .exe open c: \\ b.doc pm10: 10: 01 "," MSword.exe open c: \\ c.doc pm10: 10: 02 "," MSword.exe open c: \\ d.doc pm10: 10:04 ",… , "MSword.exe open c: \\ f.doc pm10: 11: 00" can generate log information including the details of 15 open events. The generated log information is stored and managed in the local storage 160 in association with the detected event identification information and collected logs.

이어서, 실시간 로그 분석부는 감지된 이벤트가 서버(20)에 상세 분석을 요청하여야 하는 위험 수준의 이벤트 인지를 판단할 수 있다(단계:S4). 즉, 실시간 로그 분석부(120)는 불법 행위의 위험성이 있는 것으로 판단되어 보안 조치가 필요한 이벤트로 감지된 이벤트에 대하여, 그 위험 수준에 따라 클라이언트 디바이스(10)에서 처리할지 아니면 서버(20) 단에 상세 분석을 요청할 것인지를 판단할 수 있다.Subsequently, the real-time log analysis unit may determine whether the detected event is a risk level event that requires requesting detailed analysis from the server 20 (step: S4). That is, the real-time log analysis unit 120 judges that there is a risk of illegal activity, and the event detected as an event requiring security measures is processed by the client device 10 according to the risk level or the server 20 You can decide whether to request detailed analysis.

좀더 구체적으로, 실시간 로그 분석부(120)는 상기 이벤트에 대응하는 수집된 로그들을 분석하여 상기 이벤트의 위험 포인트를 생성하고, 이벤트 별 기준 포인트를 포함하는 기 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기분 포인트를 추출할 수 있다. 그리고 실시간 로그 분석부(120)는 상기 생성된 위험 포인트가 상기 추출된 기준 포인트 이상인지를 판단할 수 있다.More specifically, the real-time log analysis unit 120 analyzes the collected logs corresponding to the event to generate a risk point of the event, and queries a pre-stored table including reference points for each event to correspond to the event Mood points can be extracted. In addition, the real-time log analysis unit 120 may determine whether the generated risk point is greater than or equal to the extracted reference point.

이때 실시간 로그 분석부(120)는 위험 포인트가 기준 포인트 이상일 경우, 상기 이벤트가 서버(20)에 상세 분석을 요청해야 할 만큼 위험 수준이 높은 이벤트로 판단하고, 위험 포인트가 기준 포인트 미만일 경우, 상기 이벤트가 클라이언트 디바이스(10)에서 자체적으로 처리해도 될만한 상대적으로 낮은 위험 수준의 이벤트로 판단할 수 있다.In this case, the real-time log analysis unit 120 determines that the event is a high-risk event such that the event needs to request detailed analysis from the server 20 when the risk point is greater than or equal to the reference point. It can be determined that the event is a relatively low risk event that may be handled by the client device 10 itself.

여기서 상기 이벤트에서 추출되는 위험 포인트는, 예컨대 액세스를 행한 횟수인 카운트 값일 수 있다. 상기 기준 포인트는 서버(20)에 상세 분석을 요청하여야 할 최소 위험 포인트일 수 있다. 이러한 기준 포인트는 로컬 저장소의 룰 세트에 테이블 형태로 포함되어 관리될 수 있다.Here, the risk point extracted from the event may be, for example, a count value that is the number of times access is performed. The reference point may be a minimum risk point for requesting detailed analysis from the server 20. These reference points can be managed by being included in a table form in the rule set of the local storage.

예를 들면, 만약, "10시 10분부터 1분동안 MS워드로 15개의 문서를 오픈"하는 이벤트에서 위험 포인트는 "15"일 수 있다. 만약 "1분 동안 MS워드를 사용한 문서 오픈 횟수"의 기준 포인트가 "12"라면, 상기 이벤트의 위험 포인트가 기준 포인트 이상이므로 실시간 로그 분석부(120)는 상기 이벤트는 서버(20)에 상세 분석을 요청해야 할 높은 위험 수준의 이벤트로 판정될 수 있다.For example, in the event of "opening 15 documents with MS Word for 10 to 1 minute from 10:10", the risk point may be "15". If the reference point of the "number of document openings using MS word for 1 minute" is "12", the risk point of the event is greater than or equal to the reference point, so the real-time log analysis unit 120 analyzes the event in detail in the server 20 It can be judged as a high-risk event that needs to be requested.

반면, "1분 동안 MS워드를 사용한 문서 오픈 횟수"의 기준 포인트가 "30"라고 가정하면, 위험 포인트는 기준 포인트 미만이므로 실시간 로그 분석부(120)는 상기 이벤트의 위험 수준이 상세 분석을 요청할 만큼의 위험 수준보다는 낮은 것으로 판정할 수 있다. 이 경우 클라이언트 디바이스(10)에서 상기 이벤트에 자체적으로 보안 조치한다.On the other hand, assuming that the reference point of "the number of document open times using an MS word for 1 minute" is "30", the risk point is less than the reference point, so the real-time log analysis unit 120 requests detailed analysis of the risk level of the event. It can be judged to be lower than the level of risk. In this case, the client device 10 secures itself to the event.

상기 판단의 결과 값은 로컬 제어부(140)로 전달될 수 있다. 로컬 제어부(140)는 실시간 로그 분석부(120)가 상기 이벤트에 대하여 서버(20)에 상세 분석을 요청할 것을 판단하는 경우, 상기 이벤트에 대응하는 정형화된 로그 정보를 포함하는 상세 분석 요청을 클라이언트 에이전트(160)를 통하여 서버(20)로 전송할 수 있다(단계:S6).The result value of the determination may be transmitted to the local control unit 140. When the real-time log analysis unit 120 determines that the server 20 requests detailed analysis for the event, the local control unit 140 sends a detailed analysis request including standardized log information corresponding to the event to the client agent It can be transmitted to the server 20 through (160) (step: S6).

반면, 로컬 제어부(140)는 실시간 로그 분석부(120)가 상기 이벤트에 대하여 클라이언트 디바이스(10)에서 자체적으로 처리해도 될만한 낮은 위험 수준의 이벤트로 판단할 경우, 클라이언트 디바이스(10) 단에서 자체적인 보안 조치를 수행할 수 있는 보안 프로세스를 사용하여 실시간으로 즉시 이벤트에 대응할 수 있다(단계:S5). 상기 보안 프로세스는 예를 들어, PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 등일 수 있다.On the other hand, if the local control unit 140 determines that the real-time log analysis unit 120 is a low-risk event that may be handled by the client device 10 for the event itself, the client device 10 terminal itself It is possible to immediately respond to the event in real time using a security process capable of performing security measures (step: S5). The security process may be, for example, locking a PC, backing up document data, displaying a warning message, blocking access, and the like.

도 5는 클라이언트 디바이스(10)에서 상세 분석 요청을 서버(20)로 전송한 이후의 동작 과정을 설명하기 위한 흐름도이다.5 is a flowchart illustrating an operation process after the detailed analysis request is transmitted from the client device 10 to the server 20.

도 5에 도시된 바와 같이, 상세 분석 요청을 서버(20)로 전송한 이후, 클라이언트 디바이스(10)는 서버(20)로부터 상기 이벤트에 대응하는 로그들을 전송하라는 요청을 수신할 수 있다(단계:S11). 이러한 서버(20)의 요청은 클라이언트 디바이스(10)의 클라이언트 에이전트(160)를 통하여 수신된 후 로컬 제어부(140)로 전달된다.5, after transmitting the detailed analysis request to the server 20, the client device 10 may receive a request to transmit logs corresponding to the event from the server 20 (step: S11). The request of the server 20 is received through the client agent 160 of the client device 10 and then transmitted to the local control unit 140.

그러면, 로컬 제어부(140)는 로컬 저장소(150)에 저장되어 있는 로그들을 추출하고(단계:S12), 추출된 로그들을 클라이언트 에이전트(160)를 통하여 서버(20)로 전송할 수 있다(단계:S13).Then, the local control unit 140 may extract the logs stored in the local storage 150 (step: S12), and transmit the extracted logs to the server 20 through the client agent 160 (step: S13) ).

도 6은 적어도 하나 이상의 클라이언트 디바이스(10)와 연동하는 서버(20)의 구성을 나타내는 블록도이다.6 is a block diagram showing a configuration of a server 20 interworking with at least one client device 10.

도 6에 도시된 바와 같이, 서버(20)는 클라이언트 매니저(210), 상세 분석부(220), 서버 제어부(230) 및 서버 저장소(240) 등을 포함할 수 있다. 상기 클라이언트 매니저(210)는 클라이언트 디바이스(10)의 클라이언트 에이전트(160)와 연동하여 정보를 송수신할 수 있다. 상기 클라이언트 매니저(210)는 적어도 하나의 클라이언트 디바이스(10)들을 관리할 수 있다.As shown in FIG. 6, the server 20 may include a client manager 210, a detailed analysis unit 220, a server control unit 230, and a server storage 240. The client manager 210 may transmit and receive information in cooperation with the client agent 160 of the client device 10. The client manager 210 may manage at least one client device 10.

상세 분석부(220)는 클라이언트 디바이스(10)로부터 이벤트에 대한 상세 분석 요청이 수신되면, 상세 분석 요청에 포함되어 있는 로그 정보를 분석하여 관리자에게 사용자 인터페이스를 통하여 표시할 수 있다. 상세 분석부(220)는 상기 로그 정보에 대응하는 로그들을 클라이언트 디바이스(10)로 요청할 수 있으며, 클라이언트 디바이스(10)로부터 로그들이 수신되면 이를 서버 저장소(240)에 저장하고 상기 로그들을 상세 분석 알고리즘을 기반으로 분석할 수 있다.When a detailed analysis request for an event is received from the client device 10, the detailed analysis unit 220 may analyze log information included in the detailed analysis request and display it to the administrator through a user interface. The detailed analysis unit 220 may request logs corresponding to the log information to the client device 10, and when logs are received from the client device 10, store them in the server storage 240 and analyze the logs in detail. It can be analyzed based on.

서버 제어부(230)는 상기 상세 분석부(220)의 분석 결과를 기반으로 하여, 상기 이벤트에 대응하는 보안 조치를 결정하고, 결정된 보안 조치에 따라 클라이언트 디바이스(10)로 대응 지침을 전달할 수 있다. 서버 제어부(230)는 클라이언트 디바이스(10)에서 상세 분석을 요청한 이벤트의 이력, 상세 분석 분석 결과, 보안 조치 내역을 서버 저장소(240)에 저장하고 관리할 수 있다. 서버 저장소(240)에 저장된 이벤트의 이력, 상세 분석 결과, 보안 조치 내역은 사용자 인터페이스를 통하여 관리자가 조회 및 열람할 수 있다.The server control unit 230 may determine a security measure corresponding to the event based on the analysis result of the detailed analysis unit 220 and deliver a response guideline to the client device 10 according to the determined security measure. The server control unit 230 may store and manage the history of the event requesting the detailed analysis from the client device 10, the result of the detailed analysis analysis, and the security action history in the server storage 240. The history of the event stored in the server storage 240, the detailed analysis result, and the security action history can be viewed and viewed by the administrator through the user interface.

이와 같이, 본 발명에 따르면, 클라이언트 디바이스(10)는 클라이언트 디바이스(10)에서 발생하는 로그들을 모니터링하여 불법적인 행위의 가능성과 관련 있는 이벤트를 감지하고, 이벤트의 위험 수준이 높지 않을 경우네는 실시간으로 클라이언트 디바이스(10)에서 자체적으로 보안 조치를 수행하고, 위험 수준이 높을 경우에만 서버(20)로 상세 분석을 요청한다. 따라서, 불법적인 행위의 가능성이 있는 모든 이벤트에 대해서 서버(20)가 관여하지 않아도 되고, 일부분의 이벤트에 대해서만 정보량이 적은 정규화된 로그 정보가 전송되므로 서버(20)의 로드가 획기적으로 감소하게 된다. 또한 위험 수준이 낮은 이벤트에 대해서는 클라이언트 디바이스(10)에서 자체적으로 보안 조치가 수행되므로 신속한 대응이 가능하다.As described above, according to the present invention, the client device 10 monitors logs generated in the client device 10 to detect an event related to the possibility of illegal activity, and real-time when the risk level of the event is not high As a result, the client device 10 performs security measures on its own, and requests detailed analysis to the server 20 only when the risk level is high. Therefore, the server 20 does not need to be involved in all events that may be illegal, and the load of the server 20 is significantly reduced because normalized log information with a small amount of information is transmitted only for a part of the events. . In addition, since the security measures are performed on the client device 10 for events with a low risk level, a quick response is possible.

이상 본 발명에 대하여 그 바람직한 실시예를 예시하여 설명하였지만 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구 범위에 기재된 본 발명의 기술적 사항 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시켜 실시할 수 있음을 이해할 수 있을 것이다. 따라서, 본 발명의 앞으로의 실시예들의 변경은 본 발명의 기술을 벗어날 수 없을 것이다.
The preferred embodiments of the present invention have been exemplified and described, but those skilled in the art variously modify and change the present invention without departing from the technical details and scope of the present invention as set forth in the claims below. You can understand that you can do it. Therefore, changes in the embodiments of the present invention will not be able to escape the technology of the present invention.

AP : 어플리케이션
1 : 로그 분석을 기반으로 하는 보안 모니터링 시스템
10 : 클라이언트 디바이스
20 : 서버
100 : 보안 모니터링부
110 : 로그 수집부
120 : 실시간 로그 분석부
140 : 로컬 제어부
150 : 로컬 저장소
160 : 클라이언트 에이전트
210 : 클라이언트 매니터
220 : 상세 분석부
230 : 서버 제어부
240 : 서버 저장소AP: Application
1: Security monitoring system based on log analysis
10: client device
20: server
100: security monitoring unit
110: log collection unit
120: real-time log analysis unit
140: local control
150: local storage
160: client agent
210: client monitor
220: detailed analysis unit
230: Server control
240: server storage

Claims (25)

클라이언트 디바이스에 의하여 수행되는 보안 모니터링 방법에 있어서,
상기 클라이언트 디바이스에서 발생하는 로그들을 수집하는 단계;
수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하는 단계;
상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하는 단계;
상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계; 및
상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하는 단계 및 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 단계 중 어느 하나의 단계를 수행하는 단계를 포함하고,
상기 위험 수준이 정해진 수준 이상일 경우에만 상기 서버와 통신하는 것을 기반으로 상세 분석에 따른 보안 조치를 수행하고, 상기 위험 수준이 정해진 수준 미만일 경우 상기 클라이언트 디바이스 자체에 의한 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
In the security monitoring method performed by the client device,
Collecting logs generated at the client device;
Detecting an event requiring a security measure based on real-time analysis of the collected logs;
Generating normalized log information corresponding to the event based on the logs corresponding to the detected event;
Determining whether the detected event is a risk level event that requires a detailed analysis request from a server; And
Based on the determination, transmitting any one of the steps of transmitting a detailed analysis request including the normalized log information to the server and performing a security measure by the client device,
Characterized in that it performs a security measure according to a detailed analysis based on communication with the server only when the risk level is above a predetermined level, and performs a security measure by the client device itself when the risk level is below a predetermined level. Security monitoring method based on log analysis.
제 1 항에 있어서, 상기 보안 조치가 필요한 이벤트를 감지하는 단계는,
상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
The method of claim 1, wherein the step of detecting the event that requires the security measures,
And analyzing the collected logs in real time to determine whether the event is an event that violates a predetermined rule set, or security monitoring method based on log analysis.
제 1 항에 있어서, 상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
The method of claim 1, wherein the log information has a smaller amount of information than the collected logs, and the security monitoring method based on log analysis, characterized in that it includes information indicating the history of the event.
제 3 항에 있어서, 상기 로그 정보는,
어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함하는 것을 특징으로 하는 보안 모니터링 방법.
The method of claim 3, wherein the log information,
A security monitoring method comprising an application identifier, a target file name, an access type, a count value, and an event occurrence time.
제 1 항에 있어서, 상기 감지된 이벤트가 상기 서버에 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계는,
상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하는 단계;
이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하는 단계; 및
상기 위험 포인트가 상기 기준 포인트 이상인지를 판단하는 단계를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
The method of claim 1, wherein determining whether the detected event is a risk level event that requires requesting analysis from the server,
Generating a risk point of the event based on the collected logs;
Querying a pre-stored table including reference points for each event and extracting reference points corresponding to the event; And
And determining whether the risk point is greater than or equal to the reference point.
제 5 항에 있어서, 상기 어느 하나의 단계를 수행하는 단계는,
상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행하는 단계를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
The method of claim 5, wherein performing any one of the steps,
If the risk point is greater than or equal to the reference point, a detailed analysis request including the normalized log information is transmitted to the server, and when the risk point is less than the reference point, the client device does not request an analysis to the server. Security monitoring method based on log analysis characterized in that it comprises the step of performing a security measure.
제 1 항에 있어서, 상기 보안 조치를 수행하는 단계는,
상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행하는 단계를 포함하고,
상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
The method of claim 1, wherein the step of performing the security measures,
And performing a security process provided in the client device,
The security process is a security monitoring method based on log analysis, characterized in that it comprises at least one of PC lock, document data backup, warning message display, access blocking.
제 1 항에 있어서, 상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하는 단계;
상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하는 단계; 및
상기 서버에서 명령하는 보안 조치를 수행하는 단계를 더 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
The method of claim 1, further comprising: receiving a request to transmit collected logs in response to the log information from the server performing detailed analysis;
Transmitting the collected logs to the server in response to the transmission request; And
Security monitoring method based on the log analysis, characterized in that it further comprises the step of performing a security measure commanded by the server.
클라이언트 디바이스에서 발생하는 로그들을 수집하는 로그 수집부;
수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 실시간 로그 분석부; 및
상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나, 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 로컬 제어부를 포함하고,
상기 위험 수준이 정해진 수준 이상일 경우에만 상기 서버와 통신하는 것을 기반으로 상세 분석에 따른 보안 조치를 수행하고, 상기 위험 수준이 정해진 수준 미만일 경우 상기 클라이언트 디바이스 자체에 의한 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
A log collection unit for collecting logs generated in the client device;
Based on analyzing the collected logs in real time, an event requiring a security measure is detected, and normalized log information corresponding to the event is generated based on the logs corresponding to the detected event, and the detection A real-time log analysis unit to determine whether the event is at a risk level that requires a detailed analysis request from the server; And
Based on the determination, a detailed analysis request including the normalized log information is transmitted to the server, or a local control unit for performing security measures by the client device,
Characterized in that it performs a security measure according to a detailed analysis based on communication with the server only when the risk level is above a predetermined level, and performs a security measure by the client device itself when the risk level is below a predetermined level. Security monitoring device based on log analysis.
제 9 항에 있어서, 상기 실시간 로그 분석부는,
상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
The method of claim 9, wherein the real-time log analysis unit,
A security monitoring device based on log analysis, characterized in that the collected logs are analyzed in real time to determine whether the event is an event that violates a predetermined rule set.
제 9 항에 있어서, 상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
The security monitoring device based on log analysis according to claim 9, wherein the log information includes information indicating a small amount of information than the collected logs and indicating the history of the event.
제 11 항에 있어서, 상기 로그 정보는,
어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함하는 것을 특징으로 하는 보안 모니터링 장치.
The method of claim 11, wherein the log information,
A security monitoring device comprising an application identifier, a target file name, an access type, a count value, and an event occurrence time.
제 9 항에 있어서, 상기 실시간 로그 분석부는,
상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하고, 이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하고, 상기 위험 포인트가 상기 기준 포인트 이상인지를 판단하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
The method of claim 9, wherein the real-time log analysis unit,
Based on the collected logs, a risk point of the event is generated, a pre-stored table including a reference point for each event is searched to extract a reference point corresponding to the event, and whether the risk point is greater than or equal to the reference point Security monitoring device based on the log analysis, characterized in that to determine.
제 13 항에 있어서, 상기 로컬 제어부는,
상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
The method of claim 13, wherein the local control unit,
If the risk point is greater than or equal to the reference point, a detailed analysis request including the normalized log information is transmitted to the server, and when the risk point is less than the reference point, the client device does not request an analysis to the server. Security monitoring device based on log analysis characterized by performing security measures.
제 9 항에 있어서, 상기 로컬 제어부는 상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행하고,
상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
The method of claim 9, wherein the local control unit performs a security process provided in the client device,
The security process is a security monitoring device based on log analysis, characterized in that it comprises at least one of PC lock, document data backup, warning message display, access blocking.
제 9 항에 있어서, 상기 로컬 제어부는,
상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하고, 상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하고, 상기 서버에서 명령하는 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
The method of claim 9, wherein the local control unit,
Receive a request to transmit the collected logs in response to the log information from the server performing detailed analysis, transmit the collected logs to the server in response to the transmission request, and perform security measures commanded by the server Security monitoring device based on the log analysis, characterized in that.
클라이언트 디바이스; 및
상기 클라이언트 디바이스와 연동하는 서버를 포함하고,
상기 클라이언트 디바이스는,
상기 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하고, 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나, 상기 클라이언트 디바이스에 의한 보안 조치를 수행하고,
상기 위험 수준이 정해진 수준 이상일 경우에만 상기 서버와 통신하는 것을 기반으로 상세 분석에 따른 보안 조치를 수행하고, 상기 위험 수준이 정해진 수준 미만일 경우 상기 클라이언트 디바이스 자체에 의한 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 시스템.
Client devices; And
And a server interworking with the client device,
The client device,
Based on collecting logs generated in the client device and analyzing the collected logs in real time, an event requiring a security measure is detected, and the event is responded to based on logs corresponding to the detected event Generates normalized log information, determines whether the detected event is a risk level event that requires a detailed analysis request from the server, and based on the determination, details including the normalized log information to the server Sending an analysis request, or performing security measures by the client device,
Characterized in that it performs a security measure according to a detailed analysis based on communication with the server only when the risk level is above a predetermined level, and performs a security measure by the client device itself when the risk level is below a predetermined level. Security monitoring system based on log analysis.
제 17 항에 있어서, 상기 클라이언트 디바이스는,
상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 시스템.
The method of claim 17, wherein the client device,
A security monitoring system based on log analysis, characterized in that the collected logs are analyzed in real time to determine whether the event is an event that violates a predetermined rule set.
제 17 항에 있어서, 상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 시스템.
The security monitoring system based on log analysis according to claim 17, wherein the log information comprises less information than the collected logs, and includes information indicating the history of the event.
제 19 항에 있어서, 상기 로그 정보는,
어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함하는 것을 특징으로 하는 보안 모니터링 시스템.
The method of claim 19, wherein the log information,
Security monitoring system characterized by including the application identifier, the target file name, access type, count value, event occurrence time.
삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020150160240A 2015-11-16 2015-11-16 Method, Apparatus and System for Security Monitoring Based On Log Analysis KR102098064B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150160240A KR102098064B1 (en) 2015-11-16 2015-11-16 Method, Apparatus and System for Security Monitoring Based On Log Analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150160240A KR102098064B1 (en) 2015-11-16 2015-11-16 Method, Apparatus and System for Security Monitoring Based On Log Analysis

Publications (2)

Publication Number Publication Date
KR20170056876A KR20170056876A (en) 2017-05-24
KR102098064B1 true KR102098064B1 (en) 2020-04-07

Family

ID=59051362

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150160240A KR102098064B1 (en) 2015-11-16 2015-11-16 Method, Apparatus and System for Security Monitoring Based On Log Analysis

Country Status (1)

Country Link
KR (1) KR102098064B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102658384B1 (en) * 2021-10-12 2024-04-18 한전케이디엔주식회사 A method and apparatus for In-house mobile security agent cyber attack response

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102098803B1 (en) * 2018-03-22 2020-04-08 주식회사 이글루시큐리티 Security Management System using Block Chain Technology and Method thereof
KR102454948B1 (en) * 2021-11-01 2022-10-17 주식회사 지엔 IoT device test method and apparatus
WO2023229065A1 (en) * 2022-05-26 2023-11-30 시큐레터 주식회사 Method and device for blocking malicious non-portable executable file by utilizing reversing engine and cdr engine
KR102542720B1 (en) * 2022-10-27 2023-06-14 주식회사 이노티움 System for providing internet of behavior based intelligent data security platform service for zero trust security
CN116366308B (en) * 2023-03-10 2023-11-03 广东堡塔安全技术有限公司 Cloud computing-based server security monitoring system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101404882B1 (en) * 2013-01-24 2014-06-11 주식회사 이스트시큐리티 A system for sorting malicious code based on the behavior and a method thereof

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050095399A (en) 2004-03-26 2005-09-29 현대자동차주식회사 Prevention struture for vibration of torsion bar in a car
KR101380015B1 (en) * 2009-09-22 2014-04-14 한국전자통신연구원 Collaborative Protection Method and Apparatus for Distributed Denial of Service
US8806620B2 (en) * 2009-12-26 2014-08-12 Intel Corporation Method and device for managing security events

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101404882B1 (en) * 2013-01-24 2014-06-11 주식회사 이스트시큐리티 A system for sorting malicious code based on the behavior and a method thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102658384B1 (en) * 2021-10-12 2024-04-18 한전케이디엔주식회사 A method and apparatus for In-house mobile security agent cyber attack response

Also Published As

Publication number Publication date
KR20170056876A (en) 2017-05-24

Similar Documents

Publication Publication Date Title
Jung et al. Ransomware detection method based on context-aware entropy analysis
KR102098064B1 (en) Method, Apparatus and System for Security Monitoring Based On Log Analysis
US9628357B2 (en) Service compliance enforcement using user activity monitoring and work request verification
JP5972401B2 (en) Attack analysis system, linkage device, attack analysis linkage method, and program
US8291500B1 (en) Systems and methods for automated malware artifact retrieval and analysis
EP2860657B1 (en) Determining a security status of potentially malicious files
US20100192222A1 (en) Malware detection using multiple classifiers
CN104956376A (en) Method and technique for application and device control in a virtualized environment
TW201250512A (en) Threat level assessment of applications
CA3123916C (en) Microapp functionality recommendations with cross-application activity correlation
WO2019026310A1 (en) Information processing device, information processing method, and information processing program
JP2021027505A (en) Monitoring device, monitoring method, and monitoring program
JP2016192185A (en) Spoofing detection system and spoofing detection method
US20210026952A1 (en) System event detection system and method
Katilu et al. Challenges of data provenance for cloud forensic investigations
US20240111809A1 (en) System event detection system and method
JP5441043B2 (en) Program, information processing apparatus, and information processing method
US20170286683A1 (en) System and methods thereof for identification of suspicious system processes
JP2020194478A (en) Abnormality detection system and abnormality detection method
JP6258189B2 (en) Specific apparatus, specific method, and specific program
JP6053646B2 (en) Monitoring device, information processing system, monitoring method, and program
JP2012173992A (en) Theft state determination system and theft state determination program
KR102022984B1 (en) Web Based SSO Service Method
JP7235109B2 (en) Evaluation device, system, control method, and program
KR102611451B1 (en) Intelligent gateway-based personal information impact assessment automatic management system

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant