KR102199177B1 - Security information and event management system and method for detecting hacking by scenario based correlation analysis - Google Patents

Security information and event management system and method for detecting hacking by scenario based correlation analysis Download PDF

Info

Publication number
KR102199177B1
KR102199177B1 KR1020190056463A KR20190056463A KR102199177B1 KR 102199177 B1 KR102199177 B1 KR 102199177B1 KR 1020190056463 A KR1020190056463 A KR 1020190056463A KR 20190056463 A KR20190056463 A KR 20190056463A KR 102199177 B1 KR102199177 B1 KR 102199177B1
Authority
KR
South Korea
Prior art keywords
log
scenario
logs
information
hacking
Prior art date
Application number
KR1020190056463A
Other languages
Korean (ko)
Other versions
KR20200131627A (en
Inventor
신승민
Original Assignee
큐비트시큐리티 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 큐비트시큐리티 주식회사 filed Critical 큐비트시큐리티 주식회사
Priority to KR1020190056463A priority Critical patent/KR102199177B1/en
Publication of KR20200131627A publication Critical patent/KR20200131627A/en
Application granted granted Critical
Publication of KR102199177B1 publication Critical patent/KR102199177B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 해킹 탐지 기술에 관한 것으로, 보다 구체적으로 네트워크와 보안 장비 뿐 아니라 웹 로그 분석도 포함하여 해킹 절차 전반의 경로에서 발생 되는 로그를 시나리오 기반 상관분석을 통해 해킹 탐지 정확도를 높이는 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법 에 관한 것이다.The present invention relates to a hacking detection technology, and more specifically, hacking detection security information that increases the accuracy of hacking detection through scenario-based correlation analysis of logs generated in the overall path of hacking procedures including not only network and security equipment but also web log analysis. It relates to an event management system and method.

Description

시나리오 기반 상관분석을 통한 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법{SECURITY INFORMATION AND EVENT MANAGEMENT SYSTEM AND METHOD FOR DETECTING HACKING BY SCENARIO BASED CORRELATION ANALYSIS}Hacking detection security information event operation system and method through scenario-based correlation analysis {SECURITY INFORMATION AND EVENT MANAGEMENT SYSTEM AND METHOD FOR DETECTING HACKING BY SCENARIO BASED CORRELATION ANALYSIS}

본 발명은 해킹 탐지 기술에 관한 것으로, 보다 구체적으로 네트워크와 보안 장비 뿐 아니라 웹 로그 분석도 포함하여 해킹 절차 전반의 경로에서 발생 되는 로그를 시나리오 기반 상관분석을 통해 해킹 탐지 정확도를 높이는 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법 에 관한 것이다.The present invention relates to a hacking detection technology, and more specifically, hacking detection security information that increases the accuracy of hacking detection through scenario-based correlation analysis of logs generated in the overall path of hacking procedures including not only network and security equipment but also web log analysis. It relates to an event management system and method.

최근 서버의 취약점을 이용한 공격은 제로데이 공격으로 진행되고 있으며, 해당 공격은 웹 애플리케이션의 취약점을 통하여 쉽고 빠르게 서버로 침투할 수 있는 방식이다.Recently, attacks using the vulnerability of the server are proceeding as a zero-day attack, and the attack is a method that can quickly and easily penetrate the server through the vulnerability of the web application.

SIEM「Security Information & Event Management」은 단순한 로그 수집과 분석이 아닌 핵심 로그만 리포팅(Reporting)해 줄 수 있는 상관분석 기능을 제공하여 지능적 위협에 대응할 수 있는 조기 경고 모니터링 체계이다.SIEM “Security Information & Event Management” is an early warning monitoring system capable of responding to advanced threats by providing a correlation analysis function that can report only core logs, not simple log collection and analysis.

하지만, 하루 수천 ~ 수억 개의 로그가 발생하는 상황에서 이상징후를 찾아내는 것은 매우 어려운 일이며, 네트워크와 보안 장비 로그 취합 중심의 상관분석으로는 웹을 통한 공격행위 탐지에는 한계가 있다.However, it is very difficult to find anomalous symptoms in a situation where thousands to hundreds of millions of logs are generated per day, and there is a limit to the detection of attack behavior through the web through correlation analysis focusing on network and security device log collection.

최근 암호화폐 관련 서비스와 금전 이익을 노린 APT 공격과 결합한 진화된 랜섬웨어 공격의 감염 경로를 조사한 결과, 인터넷을 통해 들어오는 비율이 66%로 가장 비중이 높았으며 이메일 25%, P2P 9% 순으로 나타났다. 또한, 인터넷은 APT 공격 주요 경유지로 이용되고 있는 상황이다.As a result of investigating the infection path of the advanced ransomware attack combined with the recent cryptocurrency-related service and APT attack aimed at monetary gains, the percentage of incoming via the Internet was the highest with 66%, followed by email 25% and P2P 9%. . In addition, the Internet is being used as a major transit point for APT attacks.

해킹 사고 중 80% 차지하는 웹 공격 보안이 중요하지만, 웹의 로그를 분석하여 해킹에 대응하는 SIEM 솔루션이 없는 실정이다.Web attack security, which accounts for 80% of hacking accidents, is important, but there is no SIEM solution that responds to hacking by analyzing web logs.

본 발명에 대한 선행기술문헌으로는 특허등록10-1417671 호(2014.07.02)가 있다.As a prior art document for the present invention, there is Patent Registration No. 10-1417671 (2014.07.02).

본 발명은 IT 인프라(Infrastructure) 전체를 구성하는 네트워크 보안 장비, 시스템 로그와 웹 로그를 수집하여, 해킹 절차 전반의 경로에서 발생 되는 로그를 다양한 관점에서의 상관분석(시나리오 기반)을 통해 지능형 지속 공격(APT: Advanced Persistent Threat)과 랜섬웨어(Ransomware) 공격 등의 이상징후를 더욱 정확하게 찾아내는 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법을 제공하는 것이다.The present invention collects network security equipment, system logs, and web logs that make up the entire IT infrastructure, and analyzes the logs generated in the overall path of the hacking procedure from various viewpoints through an intelligent continuous attack. It provides a hacking detection security information event operation system and method that more accurately finds abnormal symptoms such as (APT: Advanced Persistent Threat) and Ransomware attacks.

본 발명의 일 측면에 따르면, 해킹 탐지 보안 정보 이벤트 운영 시스템이 제공된다.According to an aspect of the present invention, a hacking detection security information event operation system is provided.

본 발명의 일 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영 시스템은 웹 서버 및 웹 서버 운영 체제 중 적어도 하나에서 로그를 수집하기 위한 설정을 수행하는 로그 설정부, 상기 설정에 따라 수집된 상기 로그를 포함하는 로그 정보를 생성하는 로그 취합부, 상기 로그 정보와 연동한 시나리오 개발하여 서버 별 로그들의 정상 패턴에 대한 모델링 정보를 지속해서 업데이트하는 모델 선정부 및 상기 시나리오에 기반하여 상기 로그 정보에 대한 시나리오 상관분석을 수행하는 로그 분석부를 포함할 수 있다.A hacking detection security information event operating system according to an embodiment of the present invention includes a log setting unit configured to collect logs from at least one of a web server and a web server operating system, and the logs collected according to the settings. A log aggregating unit that generates log information for each server, a model selection unit that continuously updates modeling information for the normal pattern of each server by developing a scenario linked with the log information, and a scenario correlation for the log information based on the scenario It may include a log analysis unit that performs analysis.

일 실시 예에 따르면, 로그 설정부는 포스트-바디, 리스폰스-바디로 전달되는 데이터를 포함하는 로그를 수집하고, 프로그램 동작 위치, 프로그램 실행 정보, 프로그램 실행 대상 형태 및 프로그램 실행 주체, 프로그램 전체 경로 및 프로그램 정보 중 하나 이상을 포함하는 로그를 수집하도록 하는 설정을 수행할 수 있다.According to an embodiment, the log setting unit collects a log including data transmitted to the post-body and response-body, and the program operation location, program execution information, program execution target type and program execution subject, full program path and program You can set to collect a log including one or more of the information.

일 실시 예에 따르면, 모델 선정부는 시스템 레벨 애플리케이션 이상징후 탐지 시나리오인 경우, 로그인 후 profile을 수정하여 로그 생성을 회피하는 작업, ·로그인 후 bash_history를 검색하여 mysql 서버의 root 패스워드를 반복적으로 수행하는 작업, 로그인 후 mysql dump 파일을 외부로 전송을 수행하는 작업, redis 데이터를 dump 파일로 저장하고 외부로 전송을 수행하는 작업, 여러 서버에서 동시적 또는 시간차를 두고 호스트 파일을 변경하는 행위를 포함할 수 있다.According to an embodiment, in the case of a system-level application abnormal symptom detection scenario, the model selection unit is a task of avoiding log generation by modifying a profile after login, and a task of repeatedly performing the root password of the mysql server by searching bash_history after logging in. , Transferring the mysql dump file to the outside after logging in, saving redis data as a dump file and transferring it to the outside, and changing the host file simultaneously or at different times on multiple servers. have.

일 실시 예에 따르면, 모델 선정부는 랜섬웨어 탐지 시나리오인 경우 실제 사용자의 파일을 변조하는 상황을 관리 로그와 보안 로그 조합 및 발생, 패턴 등을 분석하여 탐지할 수 있다.According to an embodiment, in the case of a ransomware detection scenario, the model selection unit may detect a situation in which an actual user's file is altered by analyzing a combination of a management log and a security log, occurrence, and pattern.

본 발명의 다른 일 측면에 따르면, 해킹 탐지 보안 정보 이벤트 운영 방법이 제공된다.According to another aspect of the present invention, a method of operating a hacking detection security information event is provided.

본 발명의 일 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영 방법은 로그를 수집하기 위한 설정을 수행하는 단계, 상기 설정에 따라 수집된 상기 로그를 포함하는 로그 정보를 생성하는 단계, 상기 로그 정보를 상기 클라우드 서버로 전송하는 단계, 상기 로그 정보와 연동한 시나리오 개발하여 서버 별 로그들의 정상 패턴에 대한 모델링 정보를 지속해서 업데이트하는 단계 및 상기 시나리오에 기반하여 상기 로그 정보에 대한 시나리오 상관분석을 수행하는 단계를 포함할 수 있다.A method of operating a hacking detection security information event according to an embodiment of the present invention includes performing a setting for collecting a log, generating log information including the log collected according to the setting, and receiving the log information. Transmitting to a cloud server, developing a scenario linked with the log information, continuously updating modeling information on a normal pattern of logs for each server, and performing a scenario correlation analysis on the log information based on the scenario It may include.

일 실시 예에 따르면, 해킹 탐지 보안 정보 이벤트 운영부에서 로그를 수집하기 위한 설정을 수행하는 단계는 포스트-바디, 리스폰스-바디로 전달되는 데이터를 포함하는 로그를 수집하고, 프로그램 동작 위치, 프로그램 실행 정보, 프로그램 실행 대상 형태 및 프로그램 실행 주체, 프로그램 전체 경로 및 프로그램 정보 중 하나 이상을 포함하는 로그를 수집하도록 하는 설정을 수행할 수 있다.According to an embodiment, the step of performing the setting for collecting the log in the hacking detection security information event operation unit collects the log including data transmitted to the post-body and response-body, and the program operation location and program execution information , A program execution target type and program execution subject, a full program path, and a setting to collect a log including at least one of program information may be performed.

일 실시 예에 따르면, 관리 로그의 경우 시스템 및 네트워크 로그를 관리적 측면에서 모니터링하는 단계 및 보안 로그의 경우 공격 유형을 구분하여 관리하고 모니터링하는 단계를 더 포함할 수 있다.According to an embodiment, in the case of a management log, a step of monitoring a system and a network log in terms of management, and in the case of a security log, the step of managing and monitoring by classifying an attack type may be further included.

일 실시 예에 따르면, 공격이 탐지된 경우, 로그 정보에 대응하는 소스 IP 주소를 포함하는 탐지 정보를 생성하는 단계를 더 포함할 수 있다.According to an embodiment, when an attack is detected, the step of generating detection information including a source IP address corresponding to the log information may be further included.

본 발명의 일 실시 예에 따르면, AI 기반 빅데이터 분석 플랫폼이 자동 분석한 정보를 기반으로 실제 해킹을 걸러내고 대응, 분석가 등 전문가들의 심층 분석을 거쳐 확인된 결정적인 증거로 대응이 가능하며 보안 담당자는 더욱 중요한 이벤트의 상세 분석 등에 시간을 집중 투자할 수 있다. 또한, 네트워크 트래픽 외 시스템 정보 등 다양한 로그를 포함하는 위협 탐지 시나리오를 바탕으로 더욱 폭넓은 분석을 진행할 수 있다. According to an embodiment of the present invention, an AI-based big data analysis platform can filter out actual hacking based on the information automatically analyzed and respond with conclusive evidence confirmed through in-depth analysis by experts such as responders and analysts. You can focus your time on detailed analysis of more important events. In addition, a broader analysis can be performed based on threat detection scenarios including various logs such as network traffic and system information.

본 발명의 일 실시 예에 따르면, 핀테크, 빅데이터 등 새로운 금융과 IT융합 시장이 커짐에 따라 금융 보안의 패러다임이 변화하고 있는 상황으로 국내 보안 규제 완화 및 간편 결제 확대 등 이용자의 편의성 위주로 결제 금융환경이 변화하면서 이용자 보안강화 위주에 대한 대안으로 이상 금융거래 탐지 시스템(FDS : Fraud Detection System) 중요성이 더 커지는 상황이며 간편 결제에 따른 약화된 보안 수준을 높이기 위해 Back-End 블록에서 종합적으로 분석하고 탐지할 수 있다.According to an embodiment of the present invention, the paradigm of financial security is changing as the new financial and IT convergence markets such as fintech and big data increase. Payment finance is focused on user convenience such as relaxation of domestic security regulations and expansion of simple payments. As the environment changes, the importance of the Fraud Detection System (FDS) is increasing as an alternative to reinforcing user security. In order to increase the weakened security level due to simple payment, comprehensive analysis is performed in the back-end block. Can be detected.

도 1은 본 발명의 일 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영 시스템을 설명하기 위한 도면.
도 2 및 도 3은 본 발명의 일 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영 시스템의 해킹 탐지 보안 정보 이벤트 운영부를 설명하기 위한 도면들.
도 4내지 도 7은 본 발명의 일 실시 예에 따른 실시간 웹 해킹 탐지를 위한 해킹 탐지 보안 정보 이벤트 운영 방법을 설명하기 위한 도면들.1 is a view for explaining a hacking detection security information event operating system according to an embodiment of the present invention.
2 and 3 are diagrams for explaining a hacking detection security information event operation unit of a hacking detection security information event operating system according to an embodiment of the present invention.
4 to 7 are diagrams for explaining a method of operating a hacking detection security information event for real-time web hacking detection according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시 예를 상세히 설명하도록 한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 또한, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those of ordinary skill in the art can easily implement the present invention. However, the present invention may be implemented in various forms and is not limited to the embodiments described herein. In addition, when a part "includes" a certain component, it means that other components may be further included rather than excluding other components unless specifically stated to the contrary.

도 1은 본 발명의 일 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영 시스템을 설명하기 위한 도면이다.1 is a diagram illustrating a hacking detection security information event operating system according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 제1 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영 시스템은 웹 서버(100), 클라우드 서버(200) 및 해킹 탐지 보안 정보 이벤트 운영부(300)를 포함한다.Referring to FIG. 1, a hacking detection security information event operation system according to a first embodiment of the present invention includes a web server 100, a cloud server 200, and a hacking detection security information event operation unit 300.

웹 서버(100)는 웹 서버 및 웹 서버의 운영 체제 중 적어도 하나에서 수집한 로그 생성을 위한 로그 설정을 수행하고, 로그 설정에 따라 로그를 생성 및 취합하여 로그 정보를 생성한다. The web server 100 performs log settings for generating logs collected by at least one of the web server and the operating system of the web server, and generates and collects logs according to the log settings to generate log information.

웹 서버(100)는 생성한 로그 정보를 클라우드 서버(200)로 전송한다. The web server 100 transmits the generated log information to the cloud server 200.

해킹 탐지 보안 정보 이벤트 운영부(300)는 클라우드 서버(200)에 웹 해킹 탐지 정보를 수신하거나 자동으로 해당 정보를 가져오는 방식으로 정보를 취득하여, 웹 해킹 탐지 정보에 포함된 로그의 소스 IP 주소를 차단 리스트에 추가한다. 해킹 탐지 보안 정보 이벤트 운영부(300)를 통하여 웹 서버(100) 또는 웹 서버 운영체제는 차단 리스트에 포함된 각 소스 IP 주소로부터의 접속을 차단한다.The hacking detection security information event operation unit 300 receives web hacking detection information from the cloud server 200 or obtains the information by automatically obtaining the corresponding information, and provides the source IP address of the log included in the web hacking detection information. Add it to the block list. Through the hacking detection security information event operation unit 300, the web server 100 or the web server operating system blocks access from each source IP address included in the block list.

도 2 및 도 3은 본 발명의 일 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영 시스템의 해킹 탐지 보안 정보 이벤트 운영부를 설명하기 위한 도면이다. 2 and 3 are diagrams illustrating a hacking detection security information event operation unit of a hacking detection security information event operating system according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 일 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영부(300)는 클라우드 상에서 빅데이터 처리와 머신러닝 기술 적용을 위한 아키텍처를 가진다.Referring to FIG. 2, a hacking detection security information event operation unit 300 according to an embodiment of the present invention has an architecture for processing big data and applying machine learning technology on a cloud.

해킹 탐지 보안 정보 이벤트 운영부(300)는 공격 유형 분석 정보를 머신러닝의 지속적인 학습을 통하여 최종 결과에 대한 검증과 공격 IP 주소를 자동으로 차단한다.The hacking detection security information event operation unit 300 automatically blocks attack type analysis information and verifying the final result through continuous learning of machine learning.

해킹 탐지 보안 정보 이벤트 운영부(300)는 에이전트 업로드 서버에 등재되는 모든 로그 스트림은 빅데이터 처리를 위해서 분산 스트리밍 플랫폼인 카프카(Kafka)로 전수 전달한다. The hacking detection security information event operation unit 300 transmits all log streams registered on the agent upload server to Kafka, a distributed streaming platform for big data processing.

해킹 탐지 보안 정보 이벤트 운영부(300)는 비동기 실시간 분석을 위한 Speed Layer와 배치 분석을 위한 Batch Layer로 전달하기 위한 백본 역할을 수행한다. The hacking detection security information event operation unit 300 serves as a backbone for transferring to a speed layer for asynchronous real-time analysis and a batch layer for batch analysis.

해킹 탐지 보안 정보 이벤트 운영부(300)는 전달되는 로그 스트림의 데이터양의 증가에 따른 검증된 스케일 아웃 구조로 되어 있고, 로드 밸런싱 및 자동 스케일 기능을 지원할 수 있다.The hacking detection security information event operation unit 300 has a verified scale-out structure according to an increase in the amount of data in the transmitted log stream, and may support load balancing and automatic scale functions.

해킹 탐지 보안 정보 이벤트 운영부(300)는 Batch Layer에서 생성되는 학습된 모델 정보들을 다른 Layer로 실시간으로 전달하고, Speed Layer에서 실시간으로 업데이트되는 모델 정보를 서빙한다. The hacking detection security information event operation unit 300 delivers the learned model information generated in the batch layer to another layer in real time, and serves model information updated in real time in the speed layer.

해킹 탐지 보안 정보 이벤트 운영부(300)는 Layer에 전달하면서 무결성 및 결함 감내 기능을 지원하고, 검증된 오픈 소스를 활용하고 최적화하는 기술을 개발하고 이를 기반으로 끊임없는 기계학습 데이터 처리가 가능하다.The hacking detection security information event operation unit 300 supports integrity and defect tolerance functions while delivering to the layer, develops a technology for utilizing and optimizing verified open sources, and continuously processing machine learning data based on this.

해킹 탐지 보안 정보 이벤트 운영부(300)는 공격이 감지된 경우, 분석 대상인 로그 정보의 소스 아이피(source IP) 주소를 포함하는 탐지 정보를 생성한다.When an attack is detected, the hacking detection security information event operation unit 300 generates detection information including a source IP address of log information to be analyzed.

도 3을 참조하면, 해킹 탐지 보안 정보 이벤트 운영부(300)는 로그 설정부(320), 로그 취합부(340), 모델 선정부(360) 및 로그 분석부(380)를 포함한다. Referring to FIG. 3, the hacking detection security information event operation unit 300 includes a log setting unit 320, a log collection unit 340, a model selection unit 360, and a log analysis unit 380.

해킹 탐지 보안 정보 이벤트 운영부(300)는 로그 설정부(320), 로그 취합부(340), 모델 선정부(360) 및 로그 분석부(380)는 운영 체제 상에서 그 동작을 수행할 수 있다.The hacking detection security information event operation unit 300 may perform the operation of the log setting unit 320, the log collection unit 340, the model selection unit 360, and the log analysis unit 380 on an operating system.

로그 설정부(320)는 로그 생성을 위한 설정을 수행한다. 예를 들어, 일반적인 윈도우나 리눅스에서는 프로그램의 실행을 통한 서버의 패스워드와 같은 보안 원칙에 따라 미리 설정된 민감한 데이터의 유출, 특정 실행 프로그램으로의 인젝션을 통한 메모리 해킹, 호스트(hosts) 파일 수정을 통한 피싱이나 파밍 공격, 외부로의 원격 접속으로 해커가 서버 내부로 접속할 수 있는 리버스 커넥션 연결과 같은 악의적인 행위에 대한 로그를 기록하도록 설정되어 있지 않다. 로그 설정부(320)는 윈도우의 경우, 고급 보안 감사 정책에서 개체 액세스 추적 감사와 프로세스 추적 감사를 활성화 시키도록 로그 설정을 수행한다. 로그 설정부(320)는 포스트-바디와 리스폰스-바디로 전달되는 데이터를 포함하는 모든 HTTP/HTTPS 프로토콜을 통해 전달되는 데이터를 로그로 수집하도록 로그 설정을 수행한다. 여기서, 웹 서버(100)가 사용하는 HTTP/HTTPS 프로토콜의 메서드(Method)는 GET, PUT 또는 POST와 같은 동사형 메서드, HEAD 또는 OPTIONS과 같은 명사형 메서드가 있다. 예를 들어, GET은 하나의 리소스를 불러오는 메서드이고, POST는 데이터가 서버로 들어가야 함(리소스가 생성 혹은 수정되거나, 회신되어야 하는 임시 문서를 만드는 동작 등)을 의미하는 메서드이다. 로그 설정부(320)는 웹 해킹 공격 탐지 능력을 높이기 위하여 포스트-바디와 리스폰스-바디 내용을 로그로 남기도록 설정한다. The log setting unit 320 performs setting for log generation. For example, in general Windows or Linux, sensitive data set in advance is leaked according to security principles such as a password of a server through program execution, memory hacking through injection into a specific executable program, and phishing through host file modification. It is not set up to record a log of malicious actions, such as a reverse connection connection, which allows hackers to access the inside of the server through a pharming attack or remote access to the outside. In the case of Windows, the log setting unit 320 performs log setting to enable object access tracking audit and process tracking audit in the advanced security audit policy. The log setting unit 320 performs log setting to collect data transmitted through all HTTP/HTTPS protocols including data transmitted to the post-body and response-body as a log. Here, methods of the HTTP/HTTPS protocol used by the web server 100 include a verb-type method such as GET, PUT, or POST, and a noun-type method such as HEAD or OPTIONS. For example, GET is a method to load a single resource, and POST is a method that means that data must enter the server (such as creating or modifying a resource or creating a temporary document that needs to be returned). The log setting unit 320 sets the post-body and response-body contents to be logged in order to increase the ability to detect web hacking attacks.

로그 취합부(340)는 로그 설정에 따라 생성되는 로그를 취합하여 로그 정보를 생성한다. 로그 취합부(340)는 로그 정보를 로그 분석부(380)로 전송한다.The log collection unit 340 generates log information by collecting logs generated according to log settings. The log collection unit 340 transmits log information to the log analysis unit 380.

로그 취합부(340)는 로그 설정부(320)의 프로토콜 설정에 따라 HTTP(80) 일 경우는 일반 평문 분석을 지원하며, HTTPS(443) 일 경우는 웹 서버의 인증서와 개인키를 이용하여 암호문을 평문으로 변환하여 로그를 저장할 수 있다.According to the protocol setting of the log setting unit 320, the log collection unit 340 supports general plaintext analysis in case of HTTP(80), and in case of HTTPS(443), the ciphertext is used using the certificate and private key of the web server. You can save the log by converting it to plain text.

모델 선정부(360)는 웹 로그(OWASP)와 시스템 레벨 애플리케이션(MySQL, Redis, Postfix, Bind, HAProxy, OpenVPN, Linux command) 로그들과 연동하여 탐지 규칙 시나리오를 생성한다.The model selection unit 360 creates a detection rule scenario by interlocking with web logs (OWASP) and system level application (MySQL, Redis, Postfix, Bind, HAProxy, OpenVPN, Linux command) logs.

모델 선정부(360)는 시나리오 생성 및 관리시스템 개발하되, 5W1H(누가, 언제, 어디서, 무엇을, 어떻게, 왜) 관점에서 위협 주체와 방법 및 수단을 기준으로 발생 가능한 위협행위를 관리 로그와 보안 로그 조합을 통해 시나리오를 정의한다.The model selection unit 360 develops a scenario generation and management system, but manages possible threat actions based on the threat subject, method, and means from the perspective of 5W1H (who, when, where, what, how, and why) and security Scenarios are defined through log combinations.

모델 선정부(360)는 정의된 시나리오에 대해 시나리오 명, 분류, 위험 등급 등 기본 정보와 구현하고, 조건을 반영하는 탐지 설정 화면을 제공하여 시나리오 관리 서비스를 제공할 수 있다.The model selection unit 360 may implement a defined scenario with basic information such as a scenario name, classification, and risk level, and provide a detection setting screen reflecting a condition to provide a scenario management service.

모델 선정부(360)는 다양한 애플리케이션과 연동한 시나리오 개발하여 서버 별 로그들의 정상 패턴에 대한 모델링 정보를 지속해서 업데이트하여 자동화된 이상 탐지 수행이 가능하다.The model selection unit 360 develops scenarios linked with various applications and continuously updates modeling information on normal patterns of logs for each server to perform automated abnormality detection.

모델 선정부(360)는 예를 들면, 시스템 레벨 애플리케이션 이상징후 탐지 시나리오로 로그인 후 profile을 수정하여 로그 생성을 회피하는 작업, ·로그인 후 bash_history를 검색하여 mysql 서버의 root 패스워드를 반복적으로 수행하는 작업, 로그인 후 mysql dump 파일을 외부로 전송을 수행하는 작업, redis 데이터를 dump 파일로 저장하고 외부로 전송을 수행하는 작업, 여러 서버에서 동시적 또는 시간차를 두고 호스트 파일을 변경하는 행위를 선정할 수 있다.For example, the model selection unit 360 is a task of avoiding log generation by modifying a profile after logging in as a system-level application abnormal symptom detection scenario, and repetitively executing the root password of the mysql server by searching bash_history after logging in. , You can select the operation of transferring the mysql dump file to the outside after logging in, the operation of saving redis data as a dump file and transferring it to the outside, and the operation of changing the host file simultaneously or at a time difference on multiple servers. have.

모델 선정부(360)는 예를 들면, 랜섬웨어 탐지 시나리오로 실제 사용자의 파일을 변조하는 상황(확장자 변환, 랜섬노트 발생, C&C서버 연결 등)을 관리 로그와 보안 로그 조합 및 발생, 패턴 등을 분석하여 탐지를 설정할 수 있다. The model selection unit 360, for example, manages a situation in which a real user's file is tampered with a ransomware detection scenario (extension conversion, ransom note generation, C&C server connection, etc.). Analysis can be set up for detection.

로그 분석부(380)는 시나리오 기반 상관분석 해킹 탐지 시스템 개발을 위해 클라우드 상에서 수집되는 방대한 로그를 관리 로그와 보안 로그로 구분하여 시나리오 상관분석을 수행한다. The log analysis unit 380 performs a scenario correlation analysis by dividing a massive log collected on the cloud into a management log and a security log to develop a scenario-based correlation analysis hacking detection system.

로그 분석부(380)는 웹 로그(OWASP)와 시스템 레벨 애플리케이션(MySQL, Redis, Postfix, Bind, HAProxy, OpenVPN, Linux command) 로그들과 연동하여 생성된 탐지 규칙(시나리오)에 의해 로그를 분석한다.The log analysis unit 380 analyzes the log according to the detection rule (scenario) generated in conjunction with the web log (OWASP) and system level application (MySQL, Redis, Postfix, Bind, HAProxy, OpenVPN, Linux command) logs. .

로그 분석부(380)는 시스템 레벨 어플리케이션 로깅 지원을 통하여 랜섬웨어 및 데이터베이스 접근 이상징후 탐지 정확도를 향상시킬 수 있다.The log analysis unit 380 may improve the accuracy of detection of abnormal symptoms of ransomware and database access through system level application logging support.

로그 분석부(380)는 웹 로그 분석을 통한 머신러닝 해킹 탐지 로직이 적용되어 Apache, Tomcat, IIS, WebLogic, WebToB 등 모든 웹 서버의 POST-BODY 로깅을 통해 머신러닝이 학습하는데 필요한 특징(Feature)을 추출하고, 이를 통해 이상징후를 판단할 수 있다.The log analysis unit 380 applies machine learning hacking detection logic through web log analysis, and features necessary for machine learning to learn through POST-BODY logging of all web servers such as Apache, Tomcat, IIS, WebLogic, and WebToB. Is extracted, and an abnormal symptom can be determined through this.

도 4 내지 도 7은 본 발명의 일 실시 예에 따른 실시간 웹 해킹 탐지를 위한 해킹 탐지 보안 정보 이벤트 운영 방법을 설명하기 위한 도면들이다. 4 to 7 are diagrams for explaining a method of operating a hacking detection security information event for real-time web hacking detection according to an embodiment of the present invention.

도 4를 참조하면, 단계 S410에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 로그 설정을 수행하고 로그를 수집한다. 해킹 탐지 보안 정보 이벤트 운영부(300)는 포스트-바디, 리스폰스-바디로 전달되는 데이터를 포함하는 로그를 수집하고, 프로그램 동작 위치, 프로그램 실행 정보, 프로그램 실행 대상 형태 및 프로그램 실행 주체, 프로그램 전체 경로 및 프로그램 정보 중 하나 이상을 포함하는 로그를 수집할 수 있다. Referring to FIG. 4, in step S410, the hacking detection security information event operation unit 300 performs log setting and collects logs. The hacking detection security information event operation unit 300 collects a log including data transmitted to the post-body and response-body, and the program operation location, program execution information, program execution target type and program execution subject, the entire program path, and Logs including one or more of program information can be collected.

단계 S420에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 로그 정보를 클라우드 서버(200)로 전송한다. In step S420, the hacking detection security information event operation unit 300 transmits log information to the cloud server 200.

단계 S430에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 관리 로그의 경우 시스템 및 네트워크 로그를 관리적 측면에서 모니터링한다. In step S430, the hacking detection security information event operation unit 300 monitors the system and network logs in the case of a management log in terms of management.

도 5를 참조하면, 해킹 탐지 보안 정보 이벤트 운영부(300)는 관리 로그 UI를 통하여 모니터링 할 수 있다.Referring to FIG. 5, the hacking detection security information event operation unit 300 may monitor through a management log UI.

단계 S440에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 보안 로그의 경우 공격 유형을 구분하여 관리하고 모니터링한다. In step S440, the hacking detection security information event operation unit 300 classifies, manages, and monitors an attack type in the case of a security log.

도 6을 참조하면, 해킹 탐지 보안 정보 이벤트 운영부(300)는 보안 로그 UI 화면을 통하여 웹 서버에서 생성되는 Cookie, Status, Server, Request, Referer, User-Agent, Connection, Host, Accept-Encoding, Method, x-forwarded-for, Remote-addr, Uri,Cache-Control, Content-Length, Request-date, Content-Type 로그와, 웹 트래픽의 HTTP 프로토콜의 Request 방식의 GET, POST, HEAD, OPTIONS, PUT, DELETE, TRACE 로그를 관리하고 모니터링할 수 있다.6, the hacking detection security information event operation unit 300 is a Cookie, Status, Server, Request, Referer, User-Agent, Connection, Host, Accept-Encoding, Method generated in the web server through the security log UI screen. , x-forwarded-for, Remote-addr, Uri, Cache-Control, Content-Length, Request-date, Content-Type log and HTTP protocol request method of web traffic GET, POST, HEAD, OPTIONS, PUT, DELETE, TRACE logs can be managed and monitored.

단계 S450에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 로그 정보와 연동한 시나리오 개발하여 서버 별 로그들의 정상 패턴에 대한 모델링 정보를 지속해서 업데이트한다. In step S450, the hacking detection security information event operation unit 300 develops a scenario linked with log information, and continuously updates modeling information on a normal pattern of logs for each server.

단계 S460에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 시나리오에 기반하여 로그 정보에 대한 시나리오 상관분석을 수행한다. In step S460, the hacking detection security information event operation unit 300 performs a scenario correlation analysis on log information based on the scenario.

단계 S470에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 공격이 탐지된 경우, 로그 정보에 대응하는 소스 IP 주소를 포함하는 탐지 정보를 생성한다. In step S470, when an attack is detected, the hacking detection security information event operation unit 300 generates detection information including a source IP address corresponding to the log information.

도 7을 참조하면, 해킹 탐지 보안 정보 이벤트 운영부(300)는 머신 러닝을 이용하여 탐지 정보를 생성할 수 있다.Referring to FIG. 7, the hacking detection security information event operation unit 300 may generate detection information using machine learning.

해킹 탐지 보안 정보 이벤트 운영부(300)는 RFI/LFI 공격 유형 학습데이터 확보와 분석을 통해 의미 있는 특징을 도출하고 효과적이면서도 공통으로 적용되는 데이터 전처리를 수행한다.The hacking detection security information event operation unit 300 derives meaningful features through acquisition and analysis of RFI/LFI attack type learning data, and performs effective and commonly applied data preprocessing.

해킹 탐지 보안 정보 이벤트 운영부(300)는 아파치 스파크(Apache Spark) 머신러닝 툴을 사용하여 RFI/LFI 공격 패턴을 지도 학습하고, 학습된 모델들에 대한 교차 검증 및 정확도를 높이기 위한 여러 알고리즘과 그에 따른 파라미터 튜닝, 최종적으로 만들어진 모델을 이용 API를 적용한다.The hacking detection security information event operation unit 300 supervises learning RFI/LFI attack patterns using Apache Spark machine learning tools, cross-validation of the trained models, and various algorithms to increase accuracy and Parameter tuning, API is applied using the finally created model.

해킹 탐지 보안 정보 이벤트 운영부(300)는 아파치 스파크 스트리밍(Apache Spark Stream) 툴을 이용하여 기존 클라우드 SaaS 서비스로부터 수집된 웹 로그 및 공격 탐지 로그를 ELK 스택으로부터 읽어 들여 학습하여 정확도를 검증하고 높여 나갈 수 있다.The hacking detection security information event operation unit 300 can verify and improve the accuracy by reading and learning web logs and attack detection logs collected from the existing cloud SaaS service from the ELK stack using the Apache Spark Stream tool. have.

단계 S480에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 탐지 정보의 소스 IP 주소로부터의 접근을 차단한다. 예를 들어, 웹 서버(100)는 탐지 정보의 소스 IP 주소를 차단 리스트에 추가하고, 차단 리스트에 포함된 각 소스 IP 주소에 대응하는 접근을 차단할 수 있다.In step S480, the hacking detection security information event operation unit 300 blocks access from the source IP address of the detection information. For example, the web server 100 may add the source IP address of the detection information to the block list and block access corresponding to each source IP address included in the block list.

상술한 본 발명의 실시 예들은 다양한 수단을 통해 구현될 수 있다. 또한, 본 발명의 실시 예들은 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다.The above-described embodiments of the present invention may be implemented through various means. Further, embodiments of the present invention may be implemented by hardware, firmware, software, or a combination thereof.

하드웨어에 의한 구현의 경우, 본 발명의 실시 예들에 따른 방법은 하나 또는 그 이상의 ASICs(Application Specific Integrated Circuits), DSPs(Digital Signal Processors), DSPDs(Digital Signal Processing Devices), PLDs(Programmable Logic Devices), FPGAs(Field Programmable Gate Arrays), 프로세서, 컨트롤러, 마이크로 컨트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.In the case of implementation by hardware, the method according to embodiments of the present invention includes one or more Application Specific Integrated Circuits (ASICs), Digital Signal Processors (DSPs), Digital Signal Processing Devices (DSPDs), Programmable Logic Devices (PLDs), It can be implemented by field programmable gate arrays (FPGAs), processors, controllers, microcontrollers, microprocessors, and the like.

펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 실시 예들에 따른 방법은 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차 또는 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드 등이 기록된 컴퓨터 프로그램은 컴퓨터 판독 가능 기록 매체 또는 메모리 유닛에 저장되어 프로세서에 의해 구동될 수 있다. 메모리 유닛은 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 프로세서와 데이터를 주고 받을 수 있다.In the case of implementation by firmware or software, the method according to the embodiments of the present invention may be implemented in the form of a module, procedure, or function that performs the functions or operations described above. A computer program in which software codes and the like are recorded may be stored in a computer-readable recording medium or a memory unit and driven by a processor. The memory unit may be located inside or outside the processor, and may exchange data with the processor through various known means.

또한 본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 인코딩 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 인코딩 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방법으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.In addition, combinations of each block of the block diagram attached to the present invention and each step of the flowchart may be performed by computer program instructions. Since these computer program instructions can be mounted on the encoding processor of a general-purpose computer, special purpose computer or other programmable data processing equipment, the instructions executed by the encoding processor of the computer or other programmable data processing equipment are each block of the block diagram or Each step of the flow chart will create a means to perform the functions described. These computer program instructions can also be stored in computer-usable or computer-readable memory that can be directed to a computer or other programmable data processing equipment to implement a function in a particular way, so that the computer-usable or computer-readable memory It is also possible to produce an article of manufacture in which the instructions stored in the block diagram contain instruction means for performing the functions described in each block or flow chart. Computer program instructions can also be mounted on a computer or other programmable data processing equipment, so that a series of operating steps are performed on a computer or other programmable data processing equipment to create a computer-executable process to create a computer or other programmable data processing equipment. It is also possible for the instructions to perform the processing equipment to provide steps for performing the functions described in each block of the block diagram and each step of the flowchart.

더불어 각 블록 또는 각 단계는 특정된 논리적 기능을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.In addition, each block or each step may represent a module, segment, or part of code containing one or more executable instructions for executing a specified logical function. It should also be noted that in some alternative embodiments, functions mentioned in blocks or steps may occur out of order. For example, two blocks or steps shown in succession may in fact be performed substantially simultaneously, or the blocks or steps may sometimes be performed in the reverse order depending on the corresponding function.

이와 같이, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.As such, those skilled in the art to which the present invention pertains will be able to understand that the present invention can be implemented in other specific forms without changing the technical spirit or essential features. Therefore, the embodiments described above are illustrative in all respects and should be understood as non-limiting. The scope of the present invention is indicated by the claims to be described later rather than the detailed description, and all changes or modified forms derived from the meaning and scope of the claims and their equivalent concepts should be interpreted as being included in the scope of the present invention. .

Claims (8)

해킹 탐지 보안 정보 이벤트 운영 시스템에 있어서,
웹 서버 및 웹 서버 운영 체제 중 적어도 하나에서 로그를 수집하기 위한 설정을 수행하는 로그 설정부;
상기 설정에 따라 수집된 상기 로그를 포함하는 로그 정보를 생성하는 로그 취합부; 및
상기 로그 정보와 연동한 시나리오 개발하여 서버 별 로그들의 정상 패턴에 대한 모델링 정보를 지속해서 업데이트하는 모델 선정부; 및
상기 시나리오에 기반하여 상기 로그 정보에 대한 시나리오 상관분석을 수행하는 로그 분석부를 포함하되,
상기 모델 선정부는
시스템 레벨 애플리케이션 이상징후 탐지 시나리오인 경우, 로그인 후 profile을 수정하여 로그 생성을 회피하는 작업, 로그인 후 bash_history를 검색하여 mysql 서버의 root 패스워드를 반복적으로 수행하는 작업, 로그인 후 mysql dump 파일을 외부로 전송을 수행하는 작업, redis 데이터를 dump 파일로 저장하고 외부로 전송을 수행하는 작업, 여러 서버에서 동시적 또는 시간차를 두고 호스트 파일을 변경하는 행위를 포함하는 시나리오를 선정하고,
랜섬웨어 탐지 시나리오인 경우 실제 사용자의 파일을 변조하는 상황을 관리 로그와 보안 로그 조합 및 발생, 패턴을 분석하여 탐지하고,
상기 로그 분석부는
시나리오 기반 상관분석 해킹 탐지 시스템 개발을 위해 클라우드 상에서 수집되는 방대한 로그를 관리 로그와 보안 로그로 구분하여 시나리오 상관분석을 수행하되,
웹 로그와 시스템 레벨 애플리케이션 로그들과 연동하여 생성된 탐지 시나리오에 의해 로그를 분석하고,
웹 서버의 포스트바디 로깅을 통해 머신러닝이 학습하는데 필요한 특징을 추출하는 해킹 탐지 보안 정보 이벤트 운영 시스템.
In the hacking detection security information event operating system,
A log setting unit configured to perform a setting for collecting logs in at least one of a web server and a web server operating system;
A log collection unit generating log information including the logs collected according to the setting; And
A model selection unit for continuously updating modeling information on a normal pattern of logs for each server by developing a scenario linked with the log information; And
Including a log analysis unit for performing a scenario correlation analysis on the log information based on the scenario,
The model selection unit
In the case of a system-level application anomaly detection scenario, the task of avoiding log creation by modifying the profile after login, repetitively executing the root password of the mysql server by searching bash_history after logging in, and sending the mysql dump file to the outside after logging in Select a scenario that includes a task of performing a task, saving redis data as a dump file and transferring it to the outside, and changing a host file at the same time or with a time difference on multiple servers,
In the case of a ransomware detection scenario, the situation in which the actual user's file is altered is detected by analyzing the combination of management log and security log, occurrence, and pattern,
The log analysis unit
Scenario-based correlation analysis To develop a hacking detection system, a scenario correlation analysis is performed by dividing the vast log collected in the cloud into a management log and a security log,
Analyzes logs by detection scenarios created in conjunction with web logs and system level application logs,
A hacking detection security information event operation system that extracts features required for machine learning to learn through postbody logging of a web server.
 제1 항에 있어서,
상기 로그 설정부는,
포스트-바디, 리스폰스-바디로 전달되는 데이터를 포함하는 로그를 수집하고, 프로그램 동작 위치, 프로그램 실행 정보, 프로그램 실행 대상 형태 및 프로그램 실행 주체, 프로그램 전체 경로 및 프로그램 정보 중 하나 이상을 포함하는 로그를 수집하도록 하는 설정을 수행하는 해킹 탐지 보안 정보 이벤트 운영 시스템.
The method of claim 1,
The log setting unit,
Collects logs including data transmitted to post-body and response-body, and logs that include at least one of program operation location, program execution information, program execution target type and program execution subject, full program path, and program information. Hacking detection security information event operating system that performs settings to collect.
 삭제delete 삭제delete 해킹 탐지 보안 정보 이벤트 운영 시스템에서 실시간 웹 해킹 탐지를 위한 해킹 탐지 보안 정보 이벤트 운영 방법에 있어서,
로그를 수집하기 위한 설정을 수행하는 단계;
상기 설정에 따라 수집된 상기 로그를 포함하는 로그 정보를 생성하는 단계;
상기 로그 정보를 클라우드 서버로 전송하는 단계;
상기 로그 정보와 연동한 시나리오 개발하여 서버 별 로그들의 정상 패턴에 대한 모델링 정보를 지속해서 업데이트하는 단계; 및
상기 시나리오에 기반하여 상기 로그 정보에 대한 시나리오 상관분석을 수행하는 단계를 포함하되,
상기 로그 정보와 연동한 시나리오 개발하여 서버 별 로그들의 정상 패턴에 대한 모델링 정보를 지속해서 업데이트하는 단계는
시스템 레벨 애플리케이션 이상징후 탐지 시나리오인 경우, 로그인 후 profile을 수정하여 로그 생성을 회피하는 작업, 로그인 후 bash_history를 검색하여 mysql 서버의 root 패스워드를 반복적으로 수행하는 작업, 로그인 후 mysql dump 파일을 외부로 전송을 수행하는 작업, redis 데이터를 dump 파일로 저장하고 외부로 전송을 수행하는 작업, 여러 서버에서 동시적 또는 시간차를 두고 호스트 파일을 변경하는 행위를 포함하는 시나리오를 선정하고,
랜섬웨어 탐지 시나리오인 경우 실제 사용자의 파일을 변조하는 상황을 관리 로그와 보안 로그 조합 및 발생, 패턴을 분석하여 탐지하고,
상기 시나리오에 기반하여 상기 로그 정보에 대한 시나리오 상관분석을 수행하는 단계는
시나리오 기반 상관분석 해킹 탐지 시스템 개발을 위해 클라우드 상에서 수집되는 방대한 로그를 관리 로그와 보안 로그로 구분하여 시나리오 상관분석을 수행하되,
웹 로그와 시스템 레벨 애플리케이션 로그들과 연동하여 생성된 탐지 시나리오에 의해 로그를 분석하고,
웹 서버의 포스트바디 로깅을 통해 머신러닝이 학습하는데 필요한 특징을 추출하는 해킹 탐지 보안 정보 이벤트 운영 방법.
In a hacking detection security information event operation method for real-time web hacking detection in a hacking detection security information event operating system,
Performing settings for collecting logs;
Generating log information including the log collected according to the setting;
Transmitting the log information to a cloud server;
Developing a scenario linked with the log information and continuously updating modeling information on a normal pattern of logs for each server; And
Including the step of performing a scenario correlation analysis on the log information based on the scenario,
Developing a scenario linked with the log information and continuously updating the modeling information on the normal pattern of logs for each server
In the case of a system-level application anomaly detection scenario, the task of avoiding log creation by modifying the profile after logging in, repetitively executing the root password of the mysql server by searching bash_history after logging in, and sending the mysql dump file to the outside after logging in Select a scenario that includes a task of performing a task, saving redis data as a dump file and transferring it to the outside, and changing a host file at the same time or with a time difference on multiple servers,
In the case of a ransomware detection scenario, the situation in which the actual user's file is altered is detected by analyzing the combination of management log and security log, occurrence, and pattern,
Performing a scenario correlation analysis for the log information based on the scenario
Scenario-based correlation analysis To develop a hacking detection system, a scenario correlation analysis is performed by dividing the vast log collected in the cloud into a management log and a security log,
Analyzes logs by detection scenarios created in conjunction with web logs and system level application logs,
A hacking detection security information event operation method that extracts features necessary for machine learning to learn through postbody logging of a web server.
 제5항에 있어서,
상기 해킹 탐지 보안 정보 이벤트 운영부에서 로그를 수집하기 위한 설정을 수행하는 단계는 포스트-바디, 리스폰스-바디로 전달되는 데이터를 포함하는 로그를 수집하고, 프로그램 동작 위치, 프로그램 실행 정보, 프로그램 실행 대상 형태 및 프로그램 실행 주체, 프로그램 전체 경로 및 프로그램 정보 중 하나 이상을 포함하는 로그를 수집하도록 하는 설정을 수행하는 해킹 탐지 보안 정보 이벤트 운영 방법.
The method of claim 5,
The step of performing the setting for collecting logs in the hacking detection security information event operation unit includes collecting logs including data transmitted to the post-body and response-body, and the program operation location, program execution information, and program execution target type. And a hacking detection security information event operating method configured to collect a log including one or more of a program execution subject, a full program path, and program information.
 삭제delete 삭제delete
KR1020190056463A 2019-05-14 2019-05-14 Security information and event management system and method for detecting hacking by scenario based correlation analysis KR102199177B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190056463A KR102199177B1 (en) 2019-05-14 2019-05-14 Security information and event management system and method for detecting hacking by scenario based correlation analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190056463A KR102199177B1 (en) 2019-05-14 2019-05-14 Security information and event management system and method for detecting hacking by scenario based correlation analysis

Publications (2)

Publication Number Publication Date
KR20200131627A KR20200131627A (en) 2020-11-24
KR102199177B1 true KR102199177B1 (en) 2021-01-06

Family

ID=73679586

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190056463A KR102199177B1 (en) 2019-05-14 2019-05-14 Security information and event management system and method for detecting hacking by scenario based correlation analysis

Country Status (1)

Country Link
KR (1) KR102199177B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102425525B1 (en) * 2020-11-30 2022-07-26 가천대학교 산학협력단 System and method for log anomaly detection using bayesian probability and closed pattern mining method and computer program for the same
KR102428444B1 (en) * 2021-02-05 2022-08-01 한전케이디엔주식회사 System and method for detecting mysterious symptom of security operation using ip information
KR102493041B1 (en) * 2021-02-10 2023-01-30 주식회사 케이티 Apparatus for monitoring log by using block chain

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015121968A (en) * 2013-12-24 2015-07-02 三菱電機株式会社 Log analyzer, log analysis method, and log analysis program
US20180225461A1 (en) * 2015-04-20 2018-08-09 SafeBreach Ltd. System and method for creating and executing breach scenarios utilizing virtualized elements

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015121968A (en) * 2013-12-24 2015-07-02 三菱電機株式会社 Log analyzer, log analysis method, and log analysis program
US20180225461A1 (en) * 2015-04-20 2018-08-09 SafeBreach Ltd. System and method for creating and executing breach scenarios utilizing virtualized elements

Also Published As

Publication number Publication date
KR20200131627A (en) 2020-11-24

Similar Documents

Publication Publication Date Title
US11792229B2 (en) AI-driven defensive cybersecurity strategy analysis and recommendation system
US20220210200A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
Lee et al. Classification of botnet attacks in IoT smart factory using honeypot combined with machine learning
US11750659B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
US10148685B2 (en) Event correlation across heterogeneous operations
US11848966B2 (en) Parametric analysis of integrated operational technology systems and information technology systems
US10812499B2 (en) Detection of adversary lateral movement in multi-domain IIOT environments
US20220014560A1 (en) Correlating network event anomalies using active and passive external reconnaissance to identify attack information
US20220224723A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US9742788B2 (en) Event correlation across heterogeneous operations
US20220232040A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
KR102199177B1 (en) Security information and event management system and method for detecting hacking by scenario based correlation analysis
US20210360032A1 (en) Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance
US12041091B2 (en) System and methods for automated internet- scale web application vulnerability scanning and enhanced security profiling
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
Elsayed et al. PredictDeep: security analytics as a service for anomaly detection and prediction
WO2021216163A2 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US20210374251A1 (en) Ahead of time application launching for cybersecurity threat intelligence of network security events
CN111316272A (en) Advanced cyber-security threat mitigation using behavioral and deep analytics
US20220294819A1 (en) Computer-based system for analyzing and quantifying cyber threat patterns and methods of use thereof
Fetjah et al. Toward a big data architecture for security events analytic
Frankowski et al. Application of the Complex Event Processing system for anomaly detection and network monitoring
Abdalla et al. Log File Analysis Based on Machine Learning: A Survey: Survey
US20220292374A1 (en) Dynamic parameter collection tuning
Maggi et al. Is the future Web more insecure? Distractions and solutions of new-old security issues and measures

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant