KR102174079B1 - 로그 매칭을 이용한 보안 시스템 및 방법 - Google Patents
로그 매칭을 이용한 보안 시스템 및 방법 Download PDFInfo
- Publication number
- KR102174079B1 KR102174079B1 KR1020200039788A KR20200039788A KR102174079B1 KR 102174079 B1 KR102174079 B1 KR 102174079B1 KR 1020200039788 A KR1020200039788 A KR 1020200039788A KR 20200039788 A KR20200039788 A KR 20200039788A KR 102174079 B1 KR102174079 B1 KR 102174079B1
- Authority
- KR
- South Korea
- Prior art keywords
- log
- detection
- matching
- web
- attack
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 230000004044 response Effects 0.000 claims abstract description 35
- 238000004458 analytical method Methods 0.000 claims abstract description 28
- 238000013523 data management Methods 0.000 claims abstract description 19
- 238000001514 detection method Methods 0.000 claims description 132
- 230000000903 blocking effect Effects 0.000 claims description 41
- 238000004590 computer program Methods 0.000 claims description 4
- 230000002265 prevention Effects 0.000 abstract description 15
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000010219 correlation analysis Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/106—Enforcing content protection by specific content processing
- G06F21/1064—Restricting content processing at operating system level
-
- G06F2221/0735—
Abstract
본 발명은 로그 매칭을 이용한 보안 시스템 및 방법에 관한 것이다. 본 발명의 일 실시 예에 따르면, 로그 매칭을 이용한 보안 시스템 및 방법은 침입차단 시스템, 웹방화벽에서 탐지된 공격 정보와 웹서버의 응답 정보를 매칭하여 해킹 공격을 실효성있게 탐지하고 효과적인 대응을 할 수 있다.
Description
본 발명은 보안 기술에 관한 것으로, 보다 상세하게는 침입 탐지 시스템과 웹 서버의 웹 로그를 분석하여 해킹 공격을 탐지하고 해킹 공격에 대응하기 위한 보안 시스템 및 방법에 관한 것이다.
일반적으로 침입탐지 시스템(IDS, Intrusion Detection System)은 공격에 대한 탐지를 목적으로 그리고, 침입차단 시스템(IPS, Intrusion Prevention System), 웹 방화벽(WAF, Web Application Firewall)은 공격에 대한 차단을 목적으로 운영된다. 하지만, 침입차단 시스템, 웹방화벽이라고 하더라도, 차단 형태가 아닌 탐지 형태로 운영하기도 한다. 침입차단 시스템, 웹방화벽을 차단 형태로 운영하기 위하여는 차단에 대한 신뢰성을 바탕으로 하기 때문에 장비 도입 초기에는 학습 과정이 필요하다. 그러므로 일정 기간 동안은 탐지가 적절한지 관리하게 된다. 이후 상황에 따라 탐지를 차단 시스템으로 운영한다.
한편, 침입차단 시스템, 웹방화벽이라고 하더라도 지속적으로 탐지 형태로 운영하기도 한다. 대용량 시스템을 관리하는 곳에서는 시스템의 부하, 비용 문제 등을 이유로 탐지 형태로만 운영하여 심각한 공격이라고 판단할 경우에만 차단하는 방식으로 침입차단 시스템, 웹방화벽을 운영하기도 한다. 실제로 탐지 형태로만 운영되는 이유는 공격의 80~90%는 공격의 실효성이 없고, 실효성이 없는 모든 공격을 차단하게 되면 시스템의 부하가 커지고, 부하를 줄이기 위해서는 시스템을 추가해야 하므로 비용 문제가 발생하기 때문이다. 현재 침입차단 시스템, 웹방화벽은 공격은 탐지할 수 있지만 해당 공격이 실효성이 있는지 여부는 판단하기 어려운 문제점이 있다.
본 발명의 배경기술은 대한민국 등록특허 제10-1239401호에 게시되어 있다.
본 발명은 침입차단 시스템, 웹방화벽에서 탐지된 공격 정보와 웹서버의 응답 정보를 취합하여 해킹 공격을 효과적으로 차단할 수 있는 로그 매칭을 이용한 보안 시스템 및 방법을 제공한다.
본 발명은 웹 서버의 응답코드를 이용해 실효성 있는 공격을 판단하고 효과적인 대응을 할 수 있는 로그 매칭을 이용한 보안 시스템 및 방법을 제공한다.
본 발명은 침입차단 시스템, 웹방화벽과 웹서버 간의 로그 저장 시간의 차이를 보정하여 로그 매칭을 효과적으로 할 수 있는 로그 매칭을 이용한 보안 시스템 및 방법을 제공한다.
본 발명의 일 측면에 따르면, 로그 매칭을 이용한 보안 시스템을 제공한다.
본 발명의 일 실시 예에 따른 공격 탐지 시스템의 탐지 로그와 웹 서버의 웹 로그를 수집하는 로그 수집부, 상기 탐지 로그와 웹 로그를 이용해 매칭 로그를 생성하는 로그 분석부, 상기 탐지 로그, 웹 로그 및 매칭 로그를 저장하는 로그 데이터 관리부 및 차단 설정에 따른 차단 명령을 상기 공격 탐지 시스템으로 전송하여 수행하는 명령 수행부를 포함할 수 있다.
본 발명의 다른 일 측면에 따르면, 로그 매칭을 이용한 방법 및 이를 실행하는 컴퓨터 프로그램이 기록된 컴퓨터가 판독 가능한 기록매체를 제공한다.
본 발명의 일 실시 예에 따른 로그 매칭을 이용한 방법 및 이를 실행하는 컴퓨터 프로그램이 저장된 기록매체는 공격 탐지 시스템의 탐지 로그와 웹 서버의 웹 로그를 수집하는 단계, 상기 탐지 로그와 웹 로그를 이용해 매칭 로그를 생성하는 단계, 상기 탐지 로그, 웹 로그 및 매칭 로그를 저장하는 단계 및 차단 설정에 따른 차단 명령을 상기 공격 탐지 시스템으로 전송하여 수행하는 단계를 포함할 수 있다.
본 발명의 일 실시 예에 따르면, 침입차단 시스템, 웹방화벽에서 탐지된 공격 정보와 웹서버의 응답 정보를 매칭하여 해킹 공격을 실효성 있게 탐지하고 효과적인 대응을 할 수 있다.
본 발명의 일 실시 예에 따르면, 침입차단 시스템, 웹방화벽과 웹서버 간의 로그 저장 시간의 차이를 보정하여 로그 매칭을 쉽게 하여 해킹 공격 탐지를 효과적으로 할 수 있다.
도 1 내지 도 5는 본 발명의 일 실시 예에 따른 로그 매칭을 이용한 보안 시스템을 설명하기 위한 도면들.
도 6 내지 도 9는 본 발명의 일 실시 예에 따른 로그 매칭을 이용한 보안 방법을 설명하기 위한 도면들.
도 6 내지 도 9는 본 발명의 일 실시 예에 따른 로그 매칭을 이용한 보안 방법을 설명하기 위한 도면들.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서 및 청구항에서 사용되는 단수 표현은, 달리 언급하지 않는 한 일반적으로 "하나 이상"을 의미하는 것으로 해석되어야 한다.
이하, 본 발명의 바람직한 실시 예를 첨부도면을 참조하여 상세히 설명하기로 하며, 첨부 도면을 참조하여 설명함에 있어, 동일하거나 대응하는 구성 요소는 동일한 도면번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도 1 내지 도 5는 본 발명의 일 실시 예에 따른 로그 매칭을 이용한 보안 시스템을 설명하기 위한 도면들이다.
도 1을 참조하면, 본 발명의 일 실시 예에 따른 로그 매칭을 이용한 보안 시스템(10)은 침입탐지 시스템, 침입차단 시스템, 웹 방화벽과 웹 서버(30)와 연계되어 정보를 수집한다. 본 발명에서는 간결하고 명확한 설명을 위해 침입탐지 시스템, 침입차단 시스템, 웹 방화벽 등 침입탐지 또는 침입차단 역할을 하는 시스템을 공격 탐지 시스템(20)으로 통칭하도록 한다.
도 2를 참조하면, 본 발명의 일 실시 예에 따른 로그 매칭을 이용한 보안 시스템(10)은 로그 수집부(100), 로그 분석부(200), 로그 데이터 관리부(300) 및 명령어 수행부(400)를 포함한다.
도 3을 참조하면, 로그 수집부(100)는 공격 탐지 시스템(20)의 탐지 결과를 다양한 방법으로 수집한다. 예를 들면 로그 수집부(100)는 syslog, scp, ftp, tftp 등의 여러 가지 방법으로 탐지 결과를 수집할 수 있다. 로그 수집부(100)는 웹 서버(30)의 웹 로그를 수집한다. 예를 들면, 로그 수집부(100)는 스위치의 포트 미러링을 사용하거나, 탭(tap) 시스템을 사용하거나, 웹 서버에 에이전트를 설치하는 방법 등으로 웹 서버의 웹 로그를 수집할 수 있다. 로그 수집부(100)는 수집한 로그를 로그 분석부(200)로 전송한다.
도 4를 참조하면, 로그 분석부(200)는 수집한 탐지 로그(210)와 웹 로그(220)를 매칭한다.
로그 분석부(200)는 탐지 로그(210) 정보로 공격 탐지 시스템(20)의 탐지 결과에서 공격자 IP 주소, URL(Uniform Resource Locator), 탐지 시간, 탐지 결과 및 탐지 공격문을 중 하나 이상을 포함한다. 공격자의 IP주소는 원격 접속(Remote-addr) IP주소에 포함되지만, 여러 네트워크 장비를 거치면서 X-forwarded-for에 포함될 수도 있다.
로그 분석부(200)는 웹 서버(30)의 웹 로그(220) 정보로 공격 탐지 시스템의 탐지 결과인 공격자 IP 주소, URL, 요청(Request), 응답 코드(status), 응답 사이즈 및 웹 서버의 웹 로그 생성 시간 중 하나 이상을 포함한다. 웹 로그(220)의 응답 코드(status)는 웹 서버(30)가 공격 탐지 시스템이 탐지한 해킹으로 의심되는 접속에 대해 웹 서버(30)가 어떤 응답을 했는지 확인할 수 있는 정보이다. 공격 탐지 시스템(20)은 특정 접속에 대해 유효한 공격인지 판단할 수 있는 방법이 없다. 이때 웹 서버(30)의 응답 코드를 확인하여 유효한 공격인지 아닌지 판단할 수 있다. 웹 서버(30)는 200, 300, 400, 500번대 등과 같이 접속 요청에 대한 응답 코드를 생성한다. 응답 코드들 중 성공 응답인 200의 경우에는 유효한 공격일 가능성이 높다. 웹 로그(220)의 응답 사이즈도 응답 코드와 함께 유효한 공격을 판단하는 정보이다. 응답 사이즈가 평소와는 다르게 비정상적이라면 유효한 해킹 공격으로 의심해 볼 수 있다.
로그 분석부(200)는 공격 탐지 시스템(30)의 탐지 결과로 수집된 탐지 로그(210) 정보와 웹 서버(30)로부터 수집된 웹 로그(220) 정보로부터 두 시스템 간의 상관 관계 분석에 따라 데이터를 매칭하여 새로운 형태의 매칭 로그(230) 정보를 생성한다. 로그 분석부(200)는 매칭 로그(230)의 정보로 공격 탐지 시스템의 공격자 IP 주소, URL, 탐지 시간, 탐지 결과 및 탐지 공격문, 그리고 웹 서버에 저장된 결과로 요청(Request), 응답 코드(status), 응답 사이즈 및 웹 서버의 로그 생성 시간 중 어느 하나 이상을 포함한다.
로그 분석부(200)는 공격 탐지 시스템의 탐지 로그(210)와 웹 서버의 웹 로그(220) 간의 매칭을 위해 시간 식별자를 이용한다. 공격 탐지 시스템(20)과 웹 서버(30) 간에 사용되는 시간 식별자는 매우 중요하므로 두 시스템 모두 동일한 타임 서버(NTP, Network Time Protocol)를 사용하는 것이 좋다. 로그 매칭을 이용한 보안 시스템의 모든 시스템의 시간은 초(second), 밀리 세컨드(ms), 그리고 나노 세컨드(ns)를 지원한다.
공격 탐지 시스템의 탐지 로그(210) 발생 시간과 웹 서버의 웹 로그(220) 발생 시간은 다음과 같은 이유로 차이가 발생할 수 있다.
첫째, 공격자의 공격 코드가 공격 탐지 시스템(20)에서 공격으로 탐지된 후 네트워크 장비를 거쳐 웹 서버(30)에 도착할 때까지 시간 차가 발생할 수 있다.
둘째, 웹 서버(30)가 해당 패킷을 수신 후 내부 비즈니스 로직을 처리하여 완료될 때까지 시간 차가 발생할 수 있다.
셋째, 완료된 결과 값을 로그로 저장하는 데까지 시간 차가 발생할 수 있다.
로그 분석부(200)는 공격 탐지 시스템의 탐지 로그(210) 생성시간과 웹 서버의 웹 로그(220) 생성시간 간의 시간 차가 발생하는 것을 감안하여 시간 보정 데이터를 산출한다. 로그 분석부(200)는 최초 시스템 설정 단계에서 각 시스템(예를 들면, 공격 탐지 시스템과 웹 서버) 간의 시간 분석을 통해 시간 보정 데이터를 미리 계산한다. 예를 들면, 공격 탐지 시스템이 생성한 탐지 로그(210)의 시각과 웹 로그(220)에서 저장된 시각은 각각 17:34:16.326997 초와 17:34:16.337003 초로 둘 사이의 시간 차는 0.010006 초 발생한다. 로그 분석부(200)는 각 시스템의 처리 과정에서 발생하는 시간 차를 보정하기 위해 시간 보정 데이터를 산출한다.
로그 분석부(200)는 시간 분석을 통해 미리 계산된 시간 보정 데이터를 이용해 각 로그의 생성 시간을 보정하여 탐지 로그(210)와 웹 로그(220)를 매칭한다.
로그 분석부(200)는 최초 설정 단계 이후 보안 시스템에서 발생되는 시간 차를 시간 보정 데이터로 계속 기록하여 발생되는 시간 차를 지속적으로 보정할 수 있다. 예를 들면, 보안 시스템은 네트워크 장비가 변경 또는 추가되거나, 웹 서버의 부하 등의 이유로 측정된 시간 차가 계속 변할 수 있기 때문이다.
로그 분석부(200)는 공격 탐지 시스템(20)이 공격을 탐지한 시간과 웹 서버(30)가 웹 로그를 생성한 시간을 기준으로 시간 보정 데이터를 이용해 시간이 일치하는 또는 가장 가까운 시간의 탐지 로그(210)와 웹 로그(220)를 매칭한다. 예를 들면, 로그 분석부(200)는 공격 탐지 시스템이 생성한 탐지 로그(210)의 시간과 미리 계산된 시간 보정 데이터를 더한 시간이 일치하는 웹 로그(220)를 매칭한다. 로그 분석부(200)는 공격 탐지 시스템이 생성한 탐지 로그(210)의 시간과 미리 계산된 시간 보정 데이터를 더한 시간과 일치하는 웹 로그(220)가 여러 개 발견되면, 발견된 순서대로 매칭할 수 있다. 또한, 로그 분석부(200)는 정확하게 일치하는 웹 로그(220)를 발견하지 못한 경우, 시간이 가장 가까운 것으로 순차적으로 매칭할 수 있다.
로그 분석부(200)는 시간 보정 데이터로 매칭되는 탐지 로그(210)와 웹 로그(220) 정보를 이용해 매칭 로그(230)를 생성한다. 예를 들면, 로그 분석부(200)는 탐지 로그(210)에 매칭된 웹 로그(220)의 요청(Request), 응답 코드, 응답사이즈 및 웹 서버의 웹 로그 생성 시간을 추가하여 매칭 로그(230)를 생성할 수 있다.
로그 분석부(200)는 생성한 매칭 로그(230)를 로그 데이터 관리부(300)로 전송한다.
다시 도 2를 참조하면, 로그 데이터 관리부(300)는 로그 수집부(100)에서 수집한 공격 탐지 시스템의 탐지 로그(210)와 웹 서버의 웹 로그(220)를 각각 저장한다. 또한, 로그 데이터 관리부(300) 탐지 로그(210)와 웹 로그(220)를 매칭하여 생성한 매칭 로그(230)를 저장한다.
로그 데이터 관리부(300)는 매칭 로그(230)를 이용해 유효한 해킹 공격을 판단할 수 있다. 예를 들면, 매칭 로그(230)의 응답 코드의 정보가 200이면 유효한 해킹 공격에 해당되므로 해당 공격자 IP 주소와 URL을 확인하여 접속 차단 설정하고 접속을 차단할 수 있다.
로그 데이터 관리부(300)는 매칭 로그(230)를 저장하면서 해당 탐지 결과를 관리자(사용자)에게 메일 또는 웹 훅과 같은 시스템을 이용하여 알림 할 수 있다. 또한, 로그 데이터 관리부(300)는 관리자(사용자)가 저장된 로그를 수동을 조사하고 검색할 수 있도록 각 로그 정보를 제공할 수 있다.
로그 데이터 관리부(300)는 관리자가 시간 보정 데이터를 확인할 수 있고, 사용된 시간 보정 데이터가 적절한지도 추적할 수 있도록 정보를 제공한다.
로그 데이터 관리부(300)는 로그 정보 및 매칭 결과에 따라 결정된 차단 설정에 대한 차단 명령을 명령 수행부(400)에 전달한다. 로그 데이터 관리부(300)는 결정된 차단 명령에 대해 공격 유형에 따라 이후 자동 차단 기능을 제공할 수 있다. 자세히 설명하면 로그 데이터 관리부(300)는 현재의 탐지된 공격자의 IP 주소와 요청 URL에 대하여 자동으로 접근이 차단되도록 차단 설정을 할 수 있다. 또는 로그 데이터 관리부(300)는 해당 공격 유형에 대해 이후 자동으로 차단하도록 차단 설정을 할 수 있다. 예를 들면 로그 데이터 관리부(300)는 자동 차단을 설정되면 다른 IP 주소로 공격을 시도해도 해당 공격 유형에 대하여는 자동으로 차단 명령을 명령 수행부(400)로 전달할 수 있다. 이때 차단 설정은 탐지 결과를 알림 받은 관리자에 의해서 수동으로도 관리될 수 있다.
도 5를 참조하면, 명령 수행부(400)는 로그 데이터 관리부(300)에서 전달받은 차단 명령을 공격 탐지 시스템으로 전송하여 수행한다. 명령 수행부(400)는 공격 탐지 시스템마다 제조사가 상이하고, 명령어 수행 방법이 다르기 때문에 각 제조사에서 제공하는 API를 사용하거나, 해당 시스템의 아이디와 패스워드를 사용하여 자동 로그인을 이용하는 방법으로 명령어를 수행할 수 있다. 예를 들면, 명령 수행부(400)는 “iptables -A INPUT -s 192.168.0.1/24 -j DROP” 과 같이 해당 시스템에서 사용하는 명령어를 수행하여 해킹 공격에 대해 효과적으로 차단할 수 있다.
명령 수행부(400)는 관리자가 결정한 차단 설정에 따라 해당 공격 유형에 대해 자동으로 차단하도록 차단 명령을 전송할 수 있다. 자세히 설명하면 명령 수행부(400)는 이후 다른 IP 주소로 공격을 시도해도 해당 공격 유형에 대하여는 관리자의 수동 명령없이 자동을 차단할 수 있다.
도 6 내지 도 9는 본 발명의 일 실시 예에 따른 로그 매칭을 이용한 보안 방법을 설명하기 위한 도면이다. 이하 설명하는 각 과정은 로그 매칭을 이용한 보안 시스템을 구성하는 각 기능부가 수행하는 과정이나, 본 발명의 간결하고 명확한 설명을 위해 각 단계의 주체를 로그 매칭을 이용한 보안 시스템으로 통칭하도록 한다.
도 6을 참조하면, 단계 S610에서 로그 매칭을 이용한 보안 시스템(10)은 공격 탐지 시스템의 탐지 결과를 다양한 방법으로 수집한다. 예를 들면 로그 매칭을 이용한 보안 시스템(10)은 syslog, scp, ftp, tftp 등의 여러 가지 방법으로 탐지 결과를 수집할 수 있다.
도 7을 참조하면, 로그 매칭을 이용한 보안시스템(10)이 수집한 탐지 로그(210)의 포맷을 예시로 확인할 수 있다. 탐지 로그(210)는 공격자 IP 주소, URL, 탐지 시간, 탐지 결과 및 탐지 공격문을 중 하나 이상을 포함한다. 공격자의 IP주소는 원격 접속(Remote-addr) IP주소에 포함되지만, 여러 네트워크 장비를 거치면서 X-forwarded-for에 포함될 수도 있다.
로그 매칭을 이용한 보안 시스템(10)은 웹 서버의 웹 로그(220)를 수집한다. 예를 들면, 로그 매칭을 이용한 보안 시스템(10)은 스위치의 포트 미러링을 사용하거나, 탭(tap) 시스템을 사용하거나, 웹 서버에 에이전트를 설치하는 방법 등으로 웹 서버의 웹 로그(220)를 수집할 수 있다.
도 8을 참조하면, 로그 매칭을 이용한 보안 시스템(10)이 수집한 웹 로그(220) 포맷을 예시로 확인할 수 있다. 웹 로그(220)는 공격 탐지 시스템의 탐지 결과인 공격자 IP 주소, URL, 요청(Request), 응답 코드(status), 응답 사이즈 및 웹 서버의 웹 로그 생성 시간 중 하나 이상을 포함한다.
다시 도 6을 참조하면, 단계 S620에서 로그 매칭을 이용한 보안 시스템(10)은 시간 분석을 통해 미리 계산된 시간 보정 데이터를 적용한다. 로그 매칭을 이용한 보안 시스템(10)은 공격 탐지 시스템의 탐지 로그(210) 생성시간과 웹 서버의 웹 로그(220) 생성 시간 간의 시간 차가 발생하는 것을 감안하여 시간 보정 데이터를 미리 생성하고 관리한다.
단계 S630에서 로그 매칭을 이용한 보안 시스템(10)은 시간 보정 데이터를 이용해 탐지 로그(210)와 매칭할 수 있는 웹 로그(220)를 검색한다.
단계 S640에서 로그 매칭을 이용한 보안 시스템(10)은 보정된 시간이 일치하는 탐지 로그(210)와 웹 로그(220)가 존재하면 단계 S660에서 매칭 로그(230)를 생성한다. 단계 S650에서 로그 매칭을 이용한 보안 시스템(10)은 일치하는 데이터가 없을 경우 단계 S630으로 이동하여 매칭 가능성이 있는 데이터들을 다시 검색하고 시간이 가장 가까운 것으로 순차적으로 매칭한다.
단계 S670에서 로그 매칭을 이용한 보안 시스템(10)은 단계 S660에서 생성된 매칭 로그(230)를 저장한다. 이때 로그 매칭을 이용한 보안 시스템(10)은 매칭 로그(230) 뿐만 아니라 매칭된 탐지 로그(210)와 웹 로그(220)도 각각 저장한다. 로그 매칭을 이용한 보안 시스템(10)은 탐지 로그(210) 정보로 공격 탐지 시스템의 탐지 결과에서 공격자 IP 주소, URL, 탐지 시간, 탐지 결과 및 탐지 공격문을 중 하나 이상을 포함한다. 로그 매칭을 이용한 보안 시스템(10)은 웹 로그(220) 정보로 공격 탐지 시스템의 탐지 결과인 공격자 IP 주소, URL, 요청(Request), 응답 코드(status), 응답 사이즈 및 웹 서버의 웹 로그 생성 시간 중 하나 이상을 포함한다. 로그 매칭을 이용한 보안 시스템(10)은 수집된 탐지 로그(210) 정보와 웹 서버로부터 수집된 웹 로그(220) 정보로부터 두 시스템 간의 상관 관계 분석에 따라 데이터를 매칭하여 새로운 형태의 매칭 로그(230) 정보를 생성한다. 로그 매칭을 이용한 보안 시스템(10)은 탐지 로그(210)에 매칭된 웹 로그(220)의 요청(Request), 응답 코드(status)와 응답 사이즈 및 웹 서버의 웹 로그 생성 시간을 추가하여 매칭 로그(230)를 생성할 수 있다.
도 9를 참조하면, 로그 매칭을 이용한 보안 시스템(10)이 수집한 매칭 로그(230) 포맷을 예시로 확인할 수 있다. 예를 들면, 매칭 로그(230)는 공격 탐지 시스템의 공격자 IP 주소, URL, 탐지 시간, 탐지 결과 및 탐지 공격문, 그리고 웹 서버에 저장된 결과로 요청(Request), 응답 코드(status), 응답 사이즈 및 웹 서버의 로그 생성 시간 중 어느 하나 이상을 포함한다.
로그 매칭을 이용한 보안 시스템(10)은 매칭 로그(230)를 관리자에게 알림 할 수 있다.
다시 도 6을 참조하면, 단계 S680에서 로그 매칭을 이용한 보안 시스템(10)은 매칭 로그의 정보를 분석하여 차단 여부를 판단하고 차단 설정을 할 수 있다. 또한 로그 매칭을 이용한 보안 시스템(10)은 관리자가 로그 정보를 보고 차단 설정을 지정하고 관리할 수 있도록 한다. 로그 매칭을 이용한 보안 시스템(10)은 특정 공격 유형을 자동으로 차단하도록 설정할 수 있다.
단계 S690에서 로그 매칭을 이용한 보안 시스템(10)은 차단 설정된 매칭 로그(230)의 정보에 따라 공격 탐지 시스템에 차단 명령을 수행한다. 예를 들면 로그 매칭을 이용한 보안 시스템(10)은 차단 설정이 된 매칭 로그(230)의 공격자의 IP 주소 및 요청 URL에 대하여 자동으로 접근을 차단하도록 차단 명령을 수행할 수 있다. 로그 매칭을 이용한 보안 시스템(10)은 공격 탐지 시스템마다 제조사가 상이하고, 명령어 수행 방법이 다르기 때문에 각 제조사에서 제공하는 API를 사용하거나, 해당 시스템의 아이디와 패스워드를 사용하여 자동 로그인을 이용하는 방법으로 차단 명령어를 수행할 수 있다.
상술한 로그 매칭을 이용한 보안 방법은 컴퓨터가 읽을 수 있는 매체 상에 컴퓨터가 읽을 수 있는 코드로 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체는, 예를 들어 이동형 기록 매체(CD, DVD, 블루레이 디스크, USB 저장 장치, 이동식 하드 디스크)이거나, 고정식 기록 매체(ROM, RAM, 컴퓨터 구비형 하드 디스크)일 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체에 기록된 상기 컴퓨터 프로그램은 인터넷 등의 네트워크를 통하여 다른 컴퓨팅 장치에 전송되어 상기 다른 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 다른 컴퓨팅 장치에서 사용될 수 있다.
이상에서, 본 발명의 실시 예를 구성하는 모든 구성 요소들이 하나로 결합되거나 결합되어 동작하는 것으로 설명되었다고 해서, 본 발명이 반드시 이러한 실시 예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다.
도면에서 동작들이 특정한 순서로 도시되어 있지만, 반드시 동작들이 도시된 특정한 순서로 또는 순차적 순서로 실행되어야만 하거나 또는 모든 도시 된 동작들이 실행되어야만 원하는 결과를 얻을 수 있는 것으로 이해되어서는 안 된다. 특정 상황에서는, 멀티태스킹 및 병렬 처리가 유리할 수도 있다. 더욱이, 위에 설명한 실시 예 들에서 다양한 구성들의 분리는 그러한 분리가 반드시 필요한 것으로 이해되어서는 안 되고, 설명된 프로그램 컴포넌트들 및 시스템들은 일반적으로 단일 소프트웨어 제품으로 함께 통합되거나 다수의 소프트웨어 제품으로 패키지 될 수 있음을 이해하여야 한다.
이제까지 본 발명에 대하여 그 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
10: 로그 매칭을 이용한 보안 시스템
100: 로그 수집부
200: 로그 분석부
210: 탐지 로그
220: 웹 로그
230: 매칭 로그
300: 로그 데이터 관리부
400: 명령어 수행부
100: 로그 수집부
200: 로그 분석부
210: 탐지 로그
220: 웹 로그
230: 매칭 로그
300: 로그 데이터 관리부
400: 명령어 수행부
Claims (9)
- 로그 매칭을 이용한 보안 시스템에 있어서,
공격 탐지 시스템의 탐지 로그와 웹 서버의 웹 로그를 수집하는 로그 수집부;
상기 탐지 로그와 웹 로그를 이용해 매칭 로그를 생성하는 로그 분석부;
상기 탐지 로그, 웹 로그 및 매칭 로그를 저장하는 로그 데이터 관리부; 및
차단 설정에 따른 차단 명령을 상기 공격 탐지 시스템으로 전송하여 수행하는 명령 수행부를 포함하되,
상기 로그 분석부는
상기 탐지 로그 생성시간과 웹 로그 생성시간 간의 발생하는 시간 차를 보정하는 시간 보정 데이터를 산출하고,
상기 공격 탐지 시스템과 웹 서버 간에 발생하는 시간차를 지속적으로 보정하는 시간 보정 데이터를 산출하고,
상기 탐지 로그의 생성시간과 시간 보정 데이터를 계산하여 구한 값과 생성시간이 일치하거나 가장 가까운 웹 로그를 순차적으로 상기 탐지 로그와 매칭하고,
상기 매칭 로그는
상기 탐지 로그와 상기 탐지 로그에 매칭된 상기 웹 로그의 요청, 응답 코드, 응답 사이즈 및 웹 서버의 웹 로그 생성 시간 중 하나 이상을 더 포함하여 생성하고,
상기 탐지 로그는
공격자 IP 주소, URL, 탐지 시간, 탐지 결과 및 탐지 공격문 중 하나 이상을 포함하고,
상기 로그 데이터 관리부는
상기 매칭 로그를 분석하여 차단 설정을 하되,
상기 응답 코드에 따라 유효한 공격 여부를 판단하여 차단 설정을 하고,
상기 차단 설정은 공격 유형이 동일한 경우 자동으로 차단하되,
상기 차단 설정은 분석된 공격 유형에 대해 탐지된 IP 주소와 요청 URL에 대해 지속적으로 접근을 차단하고,
상기 IP주소와 상이한 IP 주소에서 상기 공격 유형이 발생하면 차단하고,
상기 명령 수행부는
상기 공격 탐지 시스템에 접속하여 차단 명령을 실행하는 로그 매칭을 이용한 보안 시스템.
- 삭제
- 삭제
- 삭제
- 로그 매칭을 이용한 보안 시스템이 수행하는 로그 매칭을 이용한 보안 방법에 있어서,
공격 탐지 시스템의 탐지 로그와 웹 서버의 웹 로그를 수집하는 단계;
상기 탐지 로그와 웹 로그를 이용해 매칭 로그를 생성하는 단계;
상기 탐지 로그, 웹 로그 및 매칭 로그를 저장하는 단계; 및
차단 설정에 따른 차단 명령을 상기 공격 탐지 시스템으로 전송하여 수행하는 단계를 포함하되,
상기 매칭 로그를 분석하여 차단 설정을 하되,
응답 코드에 따라 유효한 공격 여부를 판단하여 차단 설정을 하고,
상기 탐지 로그와 웹 로그를 이용해 매칭 로그를 생성하는 단계는
상기 탐지 로그 생성시간과 웹 로그 생성시간 간의 시간 차가 발생하는 것을 감안하여 시간 보정 데이터를 산출하고,
상기 공격 탐지 시스템과 웹 서버 간에 발생하는 시간차를 지속적으로 보정하는 시간 보정 데이터를 산출하고,
상기 탐지 로그의 생성시간과 시간 보정 데이터를 계산하여 구한 값과 생성시간이 일치하거나 가장 가까운 웹 로그를 순차적으로 상기 탐지 로그와 매칭하고,
상기 매칭 로그는
상기 탐지 로그와 탐지 로그에 매칭된 상기 웹 로그의 요청, 응답 코드, 응답 사이즈 및 웹 서버의 웹 로그 생성 시간 중 하나 이상을 더 포함하여 생성하고,
상기 탐지 로그는
공격자 IP 주소, URL, 탐지 시간, 탐지 결과 및 탐지 공격문 중 하나 이상을 포함하고,
상기 차단 설정은 공격 유형이 동일한 경우 차단하되,
공격 유형에 대해 탐지된 IP 주소와 요청 URL에 대해 지속적으로 접근을 차단하고,
상기 IP주소와 상이한 IP 주소에서 상기 공격 유형이 발생하면 차단 설정을 하고,
상기 차단 설정에 따른 차단 명령을 상기 공격 탐지 시스템으로 전송하여 수행하는 단계는
상기 공격 탐지 시스템에 접속하여 차단 명령을 실행하는 로그 매칭을 이용한 보안 방법.
- 삭제
- 삭제
- 삭제
- 제5항의 로그 매칭을 이용한 보안 방법을 실행하는 컴퓨터가 판독 가능한 기록매체에 기록된 컴퓨터 프로그램.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020200039788A KR102174079B1 (ko) | 2020-04-01 | 2020-04-01 | 로그 매칭을 이용한 보안 시스템 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020200039788A KR102174079B1 (ko) | 2020-04-01 | 2020-04-01 | 로그 매칭을 이용한 보안 시스템 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102174079B1 true KR102174079B1 (ko) | 2020-11-05 |
Family
ID=73249410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020200039788A KR102174079B1 (ko) | 2020-04-01 | 2020-04-01 | 로그 매칭을 이용한 보안 시스템 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102174079B1 (ko) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008269084A (ja) * | 2007-04-17 | 2008-11-06 | Hitachi Ltd | ログ解析方法及び装置 |
| KR20110009811A (ko) * | 2009-07-23 | 2011-01-31 | 충남대학교산학협력단 | 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법 |
-
2020
- 2020-04-01 KR KR1020200039788A patent/KR102174079B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008269084A (ja) * | 2007-04-17 | 2008-11-06 | Hitachi Ltd | ログ解析方法及び装置 |
| KR20110009811A (ko) * | 2009-07-23 | 2011-01-31 | 충남대학교산학협력단 | 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8074097B2 (en) | Meta-instrumentation for security analysis | |
| JP4371905B2 (ja) | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 | |
| US9203848B2 (en) | Method for detecting unauthorized access and network monitoring apparatus | |
| JP5920169B2 (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
| CN109167794B (zh) | 一种面向网络系统安全度量的攻击检测方法 | |
| JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
| CN111371623B (zh) | 业务性能和安全的监测方法、装置、存储介质及电子设备 | |
| KR20130034773A (ko) | 화이트리스트를 이용한 네트워크 감시 장치 및 방법 | |
| CN108040039A (zh) | 一种识别攻击源信息的方法、装置、设备及系统 | |
| US20090276852A1 (en) | Statistical worm discovery within a security information management architecture | |
| JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
| KR20160087187A (ko) | 사이버 블랙박스 시스템 및 그 방법 | |
| KR102174079B1 (ko) | 로그 매칭을 이용한 보안 시스템 및 방법 | |
| CN113794590A (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| KR20150133370A (ko) | 웹서비스 접속제어 시스템 및 방법 | |
| CN111327632A (zh) | 一种僵尸主机检测方法、系统、设备及存储介质 | |
| US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN113660223B (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
| JP2005227982A (ja) | セキュリティ監視機能を備えたネットワークシステム、ログデータ解析端末及び情報端末 | |
| CN108965277B (zh) | 一种基于dns的感染主机分布监测方法与系统 | |
| JP6330280B2 (ja) | アラート出力装置、アラート出力方法、及び、アラート出力プログラム | |
| US11184369B2 (en) | Malicious relay and jump-system detection using behavioral indicators of actors | |
| JP6740191B2 (ja) | 攻撃対処システム及び攻撃対処方法 | |
| JP2005085157A (ja) | 不正アクセス検出装置、不正アクセス検出方法、および管理端末 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |