KR19990027327A - Real-time analyzer and analysis method of audit data - Google Patents

Real-time analyzer and analysis method of audit data Download PDF

Info

Publication number
KR19990027327A
KR19990027327A KR1019970049764A KR19970049764A KR19990027327A KR 19990027327 A KR19990027327 A KR 19990027327A KR 1019970049764 A KR1019970049764 A KR 1019970049764A KR 19970049764 A KR19970049764 A KR 19970049764A KR 19990027327 A KR19990027327 A KR 19990027327A
Authority
KR
South Korea
Prior art keywords
audit
audit data
database
real
rule
Prior art date
Application number
KR1019970049764A
Other languages
Korean (ko)
Other versions
KR100241361B1 (en
Inventor
이용준
김혜규
류근호
진병운
Original Assignee
정선종
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 정선종, 한국전자통신연구원 filed Critical 정선종
Priority to KR1019970049764A priority Critical patent/KR100241361B1/en
Publication of KR19990027327A publication Critical patent/KR19990027327A/en
Application granted granted Critical
Publication of KR100241361B1 publication Critical patent/KR100241361B1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Abstract

본 발명은 전산망상에서 시스템이 갖는 정보 보호 취약성의 문제를 해결하기 위하여 전산망에서 발생하는 감사 자료의 감사 추적 및 분석 기능을 수행하는 감사 시스템이 실시간 분석 기능을 지원하기 위한 감사 자료의 실시간 분석방법 및 분석기에 관한 것으로서, 실시간 분석 기능을 수행하기 위하여 능동 데이터베이스 시스템의 능동 규칙을 이용한 감사 자료의 실시간 분석 기법을 개발하고, 감사 시스템은 시스템에서 발생하는 침입으로부터 시스템 피해를 최소한으로 줄이거나 현재 진행중인 침입 행위를 감지하기 위하여 감사 자료의 일괄 처리 방식에서 실시간 분석 기능으로 전환하여 능동 데이터베이스의 능동성을 기술하는 능동 규칙인 ECA 규칙을 감사 자료 분석에 적용하여 실시간 분석 기법을 제공함으로써, 실시간적인 분석 및 감사 개념을 필요로 하는 모든 환경에서 탁월한 효과를 발휘할 수 있으며, 인증 및 보안이 구현되는 시스템에서는 효과적인 실시간 분석을 이용하여 시스템 관리를 한층 더 강화시킬 수 있으며, 기업간의 표준화된 서식에 의해 거래 정보를 전달하는 전자 문서 교환 시스템인 EDI 환경에서도 활용이 가능한 효과가 있다.The present invention is a real-time analysis method and analyzer of the audit data to support the real-time analysis function of the audit system that performs the audit tracking and analysis function of the audit data generated in the computer network to solve the problem of information security vulnerability of the system in the computer network In order to perform a real-time analysis function, we develop a real-time analysis technique of the audit data using the active rules of the active database system, and the audit system minimizes the damage to the system from intrusions occurring in the system, In order to detect, the real-time analysis and audit concept is provided by applying the ECA rule, which is an active rule describing the activeness of the active database, to the audit data analysis by switching from the batch process of the audit data to the real-time analysis function. It can be used in all environments that require high performance.In systems where authentication and security are implemented, effective real-time analysis can be used to further strengthen system management. It can also be used in an EDI environment, an electronic document exchange system.

Description

감사 자료의 실시간 분석기 및 분석방법Real-time analyzer and analysis method of audit data

본 발명은 전산망에서 발생하는 감사 자료의 감사 추적 및 분석 기능을 수행하는 감사 시스템이 실시간 분석 기능을 지원하기 위한 감사 자료의 실시간 분석방법 및 분석기에 관한 것이다.The present invention relates to a real-time analysis method and analyzer for audit data to support the real-time analysis function of the audit system that performs the audit tracking and analysis function of the audit data generated in the computer network.

근래 들어 정보산업 및 통신기술이 급속히 발전함에 따라 인터넷에서 컴퓨터 시스템의 사용이 급격히 증가하고 있다.Recently, with the rapid development of information industry and communication technology, the use of computer system on the Internet is increasing rapidly.

인터넷의 근원이라고 할 수 있는 미국방성의 교환망인 ARPANET을 기초로 인터넷은 학교와 연구소 등에서 연구자료 교환 등을 주목적으로 사용되어 오다가, 1990년대 들어와 인터넷의 상용화가 활발히 전개됨에 따라 현재는 수천만명에 이르는 사용자들이 인터넷을 이용하고 있다.Based on ARPANET, the exchange network of the US Department of Defense, which is the origin of the Internet, the Internet has been used mainly for the exchange of research data in schools and research institutes.In the 1990s, the Internet has been actively commercialized. Up to users are using the Internet.

그러나 인터넷을 구성하고 있는 표준 프로토콜인 전송제어 프로토콜/인터넷 프로토콜(Transmission Control Protocol/Internet Protocol, 이하 TCP/IP라 칭함)이 갖는 버그(bug) 및 취약점, 운영체제에 존재하는 버그로 인하여 인터넷 상의 사용자 및 컴퓨터 시스템은 정보 보호 상의 다양한 문제에 처하게 되었다.However, due to the bugs and vulnerabilities of Transmission Control Protocol / Internet Protocol (hereinafter referred to as TCP / IP), a standard protocol constituting the Internet, and bugs in the operating system, Computer systems have encountered a variety of information security issues.

예를 들어 공공 기관을 비롯한 연구소, 학교, 기업체 및 사설망 등에서 운영, 관리되는 서버 시스템은 외부 침입으로 인하여 시스템의 자원 및 중요한 자료들이 위협 당하고 있으며, 때로는 치명적인 손실을 입기도 한다.For example, server systems operated and managed in public institutions, research laboratories, schools, businesses, and private networks are threatened with external intrusions, threatening the system's resources and important data, and sometimes even fatally.

침입자(intruder)가 시스템에 불법적으로 로그인(login)하기 위하여 사용하는 방법에는 많은 기법들이 존재한다.There are many techniques for the way an intruder uses to log in to the system illegally.

이러한 방법들은 주로 클라이언트/서버(client/server) 구조로 동작하는 서버 시스템에서 제공하는 데몬 프로세스(daemon process)에 존재하는 버그, 전산망에서 발생할 수 있는 구조 및 운영상의 버그, 그리고 운영체제 자체가 갖는 버그를 이용한 침입 형태를 들 수 있다.These methods mainly deal with bugs in the daemon process provided by the server system operating in the client / server structure, architecture and operational bugs that can occur in the computer network, and bugs in the operating system itself. The intrusion form used is mentioned.

버그를 이용한 구체적인 침입 형태로는 IP 눈속임(IP spoofing), 도메인 명칭 서버(Domain Name Server, 이하 DNS라 칭함) 눈속임, 네트워크 파일 시스템(Network File System, 이하 NFS라 칭함) 및 네트워크 정보 서비스(Network Information Service, 이하 NIS라 칭함) 버그, 패킷 훔쳐보기(packet sniffing), 네트워크 스캐닝(Network Scanning), 송신우편(Sendmail), 트로이목마(trojan horse), 컴퓨터 바이러스(virus), 백 도어(back door), Setuid 비트(bit) 프로그램, 서비스 부인 공격(denial of service), 버퍼 오버플로우(buffer overflow), 웹 서버(Web server) 관련 버그를 이용한 침입 등 다양한 방법의 유형들이 있다.Specific types of intrusions using bugs include IP spoofing, Domain Name Server (DNS) cheating, Network File System (NFS), and Network Information Service. Service (hereinafter referred to as NIS) bugs, packet sniffing, network scanning, sendmail, trojan horse, computer viruses, back doors, There are various types of methods, including setuid bit programs, denial of service, buffer overflows, and intrusions using Web server bugs.

이러한 방법들은 현재까지 널리 알려진 형태의 침입으로서 그 외에도 알려지지 않은 버그를 이용한 침입도 발생할 수 있다.These methods are well known forms of intrusion and can be exploited by unknown bugs.

상기와 같이 알려진 무결성, 가용성, 비밀성 등을 침해하는 침입으로부터 시스템 및 자원을 안전하게 보호하기 위하여 송수신 데이터 암호화, 인증(authentication), 방화벽(firewall) 등의 방법을 이용하여 해결하려는 노력이 현재 많은 분야에서 진행이 되고 있다.In order to secure systems and resources from intrusions violating known integrity, availability, confidentiality, and the like, efforts to solve the problem by using methods such as data transmission, reception, encryption, and firewall are currently in many fields. Is going on.

하지만 상기와 같은 방법들은 나름대로의 단점을 가지고 있는데, 데이터 암호화 기법을 사용하면 통신 오버헤드 문제를 야기시킬 수 있으며, 인증 및 방화벽 시스템 또한 인증 후의 사용자를 효율적으로 제어할 수 없는 단점을 가지고 있다.However, the above methods have their own disadvantages. Using data encryption techniques can cause communication overhead problems, and authentication and firewall systems also have disadvantages in that they cannot efficiently control users after authentication.

일반적으로 독립된 침입 감지 시스템 및 감사 추적 시스템 등의 감사 시스템은 사용자에 의해서 발생하는 로그(Log) 정보를 이용하여 이탈된 행동을 검출함으로서 비정상 여부를 판단한다.In general, an audit system such as an independent intrusion detection system and an audit tracking system detects an abnormal behavior by detecting a deviation behavior using log information generated by a user.

이때, 로그 정보의 분석 기능에 있어서 실시간 분석 개념이 결여된 일괄처리 및 주기적인 로그 분석 등을 이용함으로써 현재 진행중인 시스템 침입 사실을 뒤늦게 감지하는 문제점을 가지고 있었다.At this time, there was a problem of late detection of the current system intrusion by using batch processing and periodic log analysis which lack the concept of real-time analysis in the analysis function of log information.

상기 문제점을 해결하기 위해 본 발명은, 전산망에서 발생하는 감사 자료(audit data)의 감사 추적 및 분석 기능을 수행하는 감사 시스템에 실시간 분석(real_time analysis) 기능을 지원하기 위하여, 능동 데이터베이스(active database) 시스템의 능동 규칙(active rule)을 이용한 감사 자료의 실시간 분석 기법을 개발하여 시스템 침입으로부터 가능한 빨리 침입 사실을 감지하여 이를 시스템 관리자에게 보고함으로써, 시스템 피해 정도를 줄이고 또한 현재 진행중인 침입 사실을 감지하는데 그 목적이 있다.In order to solve the above problems, the present invention, in order to support the real-time analysis (real_time analysis) function to the audit system that performs the audit trail and analysis of the audit data (audit data) generated in the computer network, active database (active database) By developing a real-time analysis method of audit data using the active rules of the system, it detects the intrusion from the system intrusion as soon as possible and reports it to the system administrator, thereby reducing the damage of the system and detecting the intrusion in progress. There is a purpose.

도 1은 본 발명에 따른 실시간 분석 기능을 지원하기 위한 감사 시스템 구성도,1 is a block diagram of an audit system for supporting a real-time analysis function according to the present invention,

도 2는 본 발명이 적용되는 능동 데이터베이스의 능동 규칙을 이용한 감사 자료의 실시간 감사 분석기 구성도,2 is a block diagram of a real-time audit analyzer of the audit data using the active rule of the active database to which the present invention is applied,

도 3은 본 발명에 따른 능동 규칙을 이용한 감사 자료의 실시간 감사 분석 처리 흐름도.3 is a flowchart of a real-time audit analysis process of audit data using an active rule according to the present invention.

도면의 주요부분에 대한 부호의 설명Explanation of symbols for main parts of the drawings

100 : 감사 시스템 101 : 사건 분류기100: Audit System 101: Case Classifier

102 : 활동 데이터베이스 104 : 비정상 탐지기102: Activity Database 104: Anomaly Detector

105 : 감사 기록기 106 : 규칙 생성기105: Audit Recorder 106: Rule Generator

107 : 프로파일 생성기 108 : 경보기107: Profile Generator 108: Alarm

109 : 프로파일 데이터베이스 110 : 규칙 데이터베이스109: Profile Database 110: Rules Database

111 : 정상 데이터베이스 112 : 비정상 데이터베이스111: normal database 112: abnormal database

113 : 감사 제공기 200 : 외부 전산망113: Audit Provider 200: External Computer Network

210 : 실시간 감사 분석기 211 : 사건 분류기210: Real Time Audit Analyzer 211: Event Classifier

212 : 능동 데이터베이스 시스템 212a : 데이터베이스212: active database system 212a: database

212b : 능동 규칙 213 : 프로파일 정보212b: Active Rule 213: Profile Information

214 : 비정상 패턴 규칙 정보214: Anomaly Pattern Rule Information

상기 목적을 달성하기 위해 본 발명은, 전산망에서 발생하는 로그정보를 이용하여 감사 자료를 생성하는 사건 분류기 데몬 프로세스, 생성된 감사 자료의 분석 기능을 수행하는 비정상 탐지기, 분석된 감사 자료 중 비활동 감사 자료를 데이터베이스에 기록하는 감사 기록기와, 과거에 발생했던 감사 자료를 활용하여 사용자의 정상적인 패턴을 기술하는 프로파일 생성기와, 상기 감사 자료의 분석 규칙을 갱신하는 규칙 생성기와, 감사자로부터 서비스 요청시 감사 서비스를 제공하는 감사 제공기 인터페이스와, 비정상 사건 발생시 경보를 울려 시스템 관리자에게 침입 사실을 전달하는 경보기로 이루어진 것을 특징으로 한다.In order to achieve the above object, the present invention provides an event classifier daemon process for generating audit data using log information generated from a computer network, an anomaly detector performing an analysis function of the generated audit data, and an inactive audit of the analyzed audit data. An audit recorder that records data in the database, a profile generator that describes the user's normal patterns using past audit data, a rule generator that updates the analysis rules of the audit data, and an audit on service request from the auditor An audit provider interface for providing a service, and an alarm to alert the system administrator by informing an alarm when an abnormal event occurs, characterized in that the alarm.

시스템 내에서 발생하는 감사에 관련된 사건 자료는 막대한 양이어서 수작업에 의한 자료의 수집 및 분석은 불가능하다.The amount of incident data related to audits in the system is enormous and manual collection and analysis of data are not possible.

따라서 감사 자료의 자동화된 분석 기능을 갖는 감사 개념은 시스템에서 반드시 필요한 개념중의 하나이다.Therefore, the concept of auditing with automated analysis of audit data is one of the essential concepts in the system.

감사 개념은 사용자에 의해서 발생된 사건을 저장, 관리한 후 감사 분석을 통하여 주어진 보안 정책(security policy)에 위반되는 사건을 감지하는 기술이다.The audit concept is a technology that detects an event that violates a given security policy through an audit analysis after storing and managing an event generated by a user.

이와 같이 사용자의 시스템 사용에 대한 감사 및 분석 기능을 갖는 감사 시스템은 인터넷상에서 운영, 관리되는 모든 시스템에서 활용될 수 있으며, 시스템이 갖고 있는 정보보호 취약성 문제를 해결할 수가 있다.As such, an audit system having an audit and analysis function of a user's use of the system can be utilized in all systems operated and managed on the Internet, and can solve the information security vulnerability problem of the system.

감사를 위해서는 사용자에 의해 발생되는 각 사건을 기록하고 필요시 언제, 누가, 어떤 일을 수행했는지 추적할 수가 있어야 한다.Auditing requires the ability to record each event generated by the user and track when, who and what is done when needed.

또한 불법 침입을 예방하거나 침입으로 인한 시스템 손실을 최소화하기 위해서는 시스템에서 발생하는 모든 활동들의 면밀한 조사, 분석을 통하여 가능한 한 빨리 침입 사실을 감지하여야 한다.In addition, in order to prevent illegal intrusions or minimize system losses due to intrusions, intrusions should be detected as soon as possible through careful investigation and analysis of all activities occurring in the system.

감사 시스템은 분석 기능에 있어서 시스템의 손실을 최소화하기 위하여 시간적으로 발생하는 감사 자료에 대한 실시간(real-time) 분석 기능을 제공하여야 한다.The audit system should provide real-time analysis of audit data that occurs over time in order to minimize the loss of the system.

따라서 본 발명에서는 상기와 같은 요구사항을 구현하기 위해 능동 데이터베이스(active database) 시스템의 능동 규칙을 이용하여 감사 자료의 실시간 분석 개념을 개발하였다.Therefore, in the present invention, in order to implement the above requirements, the concept of real-time analysis of audit data was developed using active rules of an active database system.

능동 데이터베이스는 데이터베이스에 전문가 시스템(expert system)에서 이용하는 것과 비슷한 규칙 시스템을 결합하여 데이터베이스에 능동성을 부여한 시스템을 의미한다.An active database is a system that combines a database with a rule system similar to that used by an expert system to give an active database.

능동 데이터베이스에서의 규칙은 일반적으로 ECA로 축약해서 불리는 사건(event), 조건(condition), 조치(action)로 이루어지는 규칙을 이용하며 ECA 규칙을 정의하는 규칙 언어를 사용하여 기술된다.Rules in an active database are described using a rule language that defines ECA rules, using rules consisting of events, conditions, and actions, commonly abbreviated as ECAs.

사건은 규칙을 기동시키는 원인을 말하는데, 일반적으로 사건은 릴레이션 또는 속성에 대한 데이터베이스 연산(operation)에 대하여 명세되며, 사건을 명세할 수 있는 주요한 데이터베이스 연산들로 삽입, 삭제, 수정들을 들 수 있다.An event is the cause of triggering a rule. In general, an event is specified for database operations on relations or attributes, and the main database operations that can specify an event include inserts, deletes, and modifications.

조건은 사건이 발생하였을 경우 기동된 규칙의 실행부에 대한 실행여부를 결정하는 부분이다.The condition is the part that decides whether or not to execute the executed rule when the event occurs.

조건부는 질의어(query language)나 술어(predlicate)들 중에 한가지를 이용하여 정의할 수 있다.Predicates can be defined using one of query languages or predlicates.

조건부가 질의어일 경우 이 질의어가 반환하는 값이 널(NULL)이 아닌 경우 조건이 만족된다.If the predicate is a query, the condition is satisfied if the value returned by the query is not null.

반면, 크다, 작다와 같은 술어적 기술에는 술어가 반환하는 값이 참일 경우에 조건이 만족된다.On the other hand, for predicate descriptions such as large and small, the condition is satisfied if the value returned by the predicate is true.

조치는 트리거된 규칙의 조건평가 결과가 참(true)일 경우 실행되는 일련의 데이터베이스 연산 및 사용자 프로시져들의 집합으로 이루어진다.An action consists of a set of database operations and a set of user procedures that are executed if the condition evaluation of the triggered rule is true.

여기서 연산의 집합은 임의의 데이터에 대하여 임의의 탐색 및 수정을 지정하는 임의의 연산들에 의하여 순서화되어 구성된다.Wherein a set of operations is ordered and constituted by arbitrary operations that specify any search and modification to any data.

규칙의 조치부에 대한 명세는 시스템의 특성에 따라 다양한 형태를 취할 수 있으나, 다음과 같은 세가지 유형으로 요약할 수 있다.The specification of the action part of the rule can take various forms depending on the characteristics of the system, but it can be summarized in the following three types.

첫째는 단일 문장으로 표현되는 경우, 둘째는 임의의 데이터베이스 연산인 경우, 셋째는 응용 프로그램의 호출인 경우이다.The first is represented by a single statement, the second is an arbitrary database operation, and the third is an application program call.

전산망 감사 시스템에서 사용자의 활동을 실시간 분석하기 위하여 정의되는 규칙은 사건, 조건, 조치의 ECA 구조를 갖는데, 사건은 일반적인 사용자의 활동을 감시하기 위하여, 조건은 감사 자료의 종류 및 상태를 체크하기 위하여, 조치는 비합법적인 사용자의 활동 감시 및 분석 기능을 수행하기 위하여 정의된다.Rules defined for real-time analysis of user activities in the computer network audit system have an ECA structure of events, conditions, and actions. Events are used to monitor general user activities, and conditions are used to check the type and status of audit data. In this regard, measures are defined to perform the functions of monitoring and analyzing the activities of illegal users.

감사 시스템에서 정의될 수 있는 규칙으로는 로그인 세션(session) 감시, 특정 네트워크 서비스 감시, 시스템을 사용하지 않는 비시간대에 로그인하는 사용자 감시, 실행되는 특정 명령어의 감시, 해당 세션에서 과다한 자료의 유출 감시, 과다한 로그인 실패 감시 등의 규칙을 정의할 수 있다.Rules that can be defined in the audit system include: monitoring login sessions, monitoring specific network services, monitoring users logging in from non-system time zones, monitoring specific commands executed, and leaking excess data from the session. For example, you can define rules such as monitoring excessive login failures.

이하 첨부된 도면을 참조하여 본 발명을 상세히 설명하면 다음과 같다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 실시간 분석 기능을 지원하기 위한 감사 시스템 구성도로서, 시스템에서 발생하는 로그 정보 중에서 감사 자료를 생성하는 사건 분류기(101), 사건 분류기에서 생성된 감사 자료를 저장하는 활동 데이터베이스(102), 능동 규칙에 정의된 사건을 감지하고 조건이 만족되면 실행시키는 조치부분인 비정상 탐지기(104), 사용자의 시스템 사용패턴 정보를 가진 프로파일 데이터베이스(109), 시스템 침입 정보, 시스템 보안 정책 및 관리 사항들의 정보를 가진 규칙 데이터베이스(110), 감사 자료의 이상 상태 발생시 시스템상에서 비합법적인 시스템 사용에 대해 알리는 경보기(108), 상기 활동 데이터베이스에 기록된 사용자에 의해 발생된 모든 감사 분석 결과에 따라 정상(111) 및 비정상 데이터베이스(112)에 기록하는 기능을 수행하는 감사 기록기(105), 감사자 및 시스템 관리자로부터 감사 서비스 요청시 기록된 감사 자료들을 이용하여 갱신 서비스 기능을 제공하는 감사 제공기(113), 주기적으로 정상 데이터베이스의 감사 자료를 이용하여 프로파일 데이터베이스를 갱신하는 기능을 수행하는 프로파일 생성기(107), 주기적으로 비정상 데이터베이스(112)의 감사 자료를 이용하여 규칙 데이터베이스(110)를 갱신하는 기능을 수행하는 규칙 생성기(106)로 이루어져 있다.1 is an audit system configuration diagram for supporting a real-time analysis function according to the present invention, an event classifier 101 for generating audit data among log information generated in the system, and an activity database for storing audit data generated in the event classifier (102), anomaly detector 104, which is an action part that detects an event defined in an active rule and executes when a condition is satisfied, a profile database 109 with system usage pattern information of a user, system intrusion information, system security policy, Rules database 110 with information on management matters, alerter 108 to notify of illegal system usage on the system in the event of an abnormal condition of audit data, normal according to all audit analysis results generated by users recorded in the activity database Auditor that performs the function of writing to the 111 and the abnormal database 112 105, an audit provider 113 that provides an update service function by using audit data recorded when an audit service is requested from an auditor and a system administrator, and periodically updates the profile database using audit data of a normal database. The profile generator 107 performs a function, and the rule generator 106 performs a function of periodically updating the rule database 110 by using audit data of the abnormal database 112.

상기 사건 분류기(101)는 시스템에서 발생하는 로그 정보 중에서 접속에 대한 정보, 실행되는 명령어에 대한 정보, 시간 정보, 시스템 자원 사용에 대한 정보 등으로 구성되는 감사 자료를 생성하여 활동 데이터베이스에 기록한다.The event classifier 101 generates audit data consisting of information on a connection, information on a command to be executed, time information, and information on the use of system resources among log information generated in the system and records the information in an activity database.

이때 생성되는 감사 자료의 종류는 시스템 접속에 대한 감사 자료, 명령어 수행에 대한 감사 자료 등으로 구분이 된다.The types of audit data generated are classified into audit data for system access and audit data for command execution.

사건 분류기(101)에 의해서 생성된 감사 자료가 활동 데이터베이스(102)에 기록되면서, 능동 규칙에서 정의된 사건이 트리거된다.Audit data generated by the event classifier 101 is recorded in the activity database 102, triggering the events defined in the active rules.

상기 비정상 탐지기(104)는 능동 규칙에 정의된 사건이 감지되고 조건이 만족되면 실행되는 조치부분인 사용자 프로시져이다.The abnormality detector 104 is a user procedure that is an action part that is executed when an event defined in an active rule is detected and a condition is satisfied.

비정상 탐지기(104)는 사용자의 시스템 사용패턴 정보를 가지고 있는 프로파일 데이터베이스(109)와 과거의 시스템 침입 정보, 시스템 보안 정책 및 관리 사항들에 대한 정보를 가지고 있는 규칙 데이터베이스(110)를 이용하여 활동 데이터베이스(102)에 기록된 감사 자료의 분석 기능을 수행한다.The anomaly detector 104 uses the profile database 109 which contains the system usage pattern information of the user, and the activity database using the rule database 110 which has information about past system intrusion information, system security policy and management matters. Perform an analysis of the audit data recorded in (102).

경보기(108)는 상기 비정상 탐지기(104)에 의해 감사 자료의 이상 상태 발생시 시스템 관리자에게 경보를 울려 현재 시스템상에서 비합법적인 시스템 사용이 일어나고 있음을 알리는 역할을 수행한다.The alarm 108 alerts the system administrator when an abnormal condition of the audit data is generated by the abnormal detector 104 to inform that an illegal system usage is occurring on the current system.

상기 감사 기록기(105)는 사용자가 시스템을 로그 아웃하는 경우에, 활동 데이터베이스(102)에 기록된 사용자에 의해서 발생된 모든 감사를 분석 결과에 따라서 정상(111) 및 비정상 데이터베이스(112)에 기록하는 기능을 수행한다.The audit recorder 105 records all audits generated by the user recorded in the activity database 102 in the normal 111 and the abnormal database 112 according to the analysis result when the user logs out of the system. Perform the function.

감사 제공기(113)는 감사자 및 시스템 관리자로부터 감사 서비스 요청시 활동 데이터베이스(102), 정상 데이터베이스(111) 및 비정상 데이터베이스(112)에 기록된 감사 자료를 이용하여 현재 활동중에 있는 사용자에 대한 정보 및 과거에 발생했던 정상 및 비정상적인 감사 정보를 제공하는 검색 서비스 기능과 프로파일 및 규칙 데이터베이스를 갱신할 수 있는 갱신 서비스 기능을 제공한다.The audit provider 113 uses the audit data recorded in the activity database 102, the normal database 111, and the abnormal database 112 when requesting an audit service from an auditor and a system administrator, to provide information about a user who is currently active. And a search service function for providing normal and abnormal audit information that has occurred in the past, and an update service function for updating a profile and rule database.

상기 프로파일 생성기(107)는 사용자의 최근에 발생한 감사 자료의 패턴을 기술하기 위하여 주기적으로 정상 데이터베이스(111)의 감사 자료를 이용하여 프로파일 데이터베이스(109)를 갱신하는 기능을 수행한다.The profile generator 107 periodically updates the profile database 109 by using the audit data of the normal database 111 to describe a pattern of audit data recently generated by the user.

규칙 생성기(106)는 주기적으로 비정상 데이터베이스(112)의 감사 자료를 이용하여 규칙 데이터베이스(110)를 갱신하는 기능을 수행한다.The rule generator 106 periodically updates the rule database 110 using audit data of the abnormal database 112.

도 2는 본 발명이 적용되는 능동 데이터베이스의 능동규칙을 이용한 감사 자료의 실시간 감사 분석기 구성도로서, 서버에 접속 요청을 하는 전산망(200), 감사 분석에 필요한 감사 자료를 생성하는 사건 분류기(211), 사건 분류기에 의해 수행된 연산을 실행하고 데이터베이스(212a)에 저장하는 능동 데이터베이스 시스템(212), 상기 능동 데이터베이스 시스템에 정보를 제공하는 프로파일 정보 제공부(213), 능동 데이터베이스 시스템으로 비정상 패턴 규칙 정보를 제공하는 비정상 패턴 규칙 정보 제공부(214)를 포함하는 실시간 감사 분석기(210)로 이루어져 있다.2 is a block diagram of a real-time audit analyzer of the audit data using the active rules of the active database to which the present invention is applied, the computer network 200 to request a connection to the server, the event classifier 211 to generate the audit data for audit analysis , An active database system 212 that executes the operation performed by the event classifier and stores it in the database 212a, a profile information providing unit 213 providing information to the active database system, and abnormal pattern rule information to the active database system. It consists of a real-time audit analyzer 210 including an abnormal pattern rule information providing unit 214 to provide.

상기 도 2의 서비스 사용자는 특정 시스템에서 제공하는 기능을 이용하기 위하여 외부 전산망(200)으로부터 서버에 접속 요청을 한다.The service user of FIG. 2 requests access to a server from an external computer network 200 in order to use a function provided by a specific system.

실시간 감사 분석기(210)는 사용자 로그정보의 실시간 분석 기능을 수행하며, 사건 분류기(211)는 사용자 로그정보를 이용하여 감사 분석에 필요한 감사 자료를 생성하여 데이터베이스(212a)에 데이터베이스 연산(Insert, Delete, Update)을 실행한다.The real time audit analyzer 210 performs a real time analysis function of the user log information, and the event classifier 211 generates audit data necessary for the audit analysis using the user log information and performs database operations (Insert, Delete) on the database 212a. , Update).

능동 데이터베이스 시스템(212)은 사건 분류기(211)에 의해서 수행된 삽입, 삭제, 갱신 연산을 식별하고, 데이터베이스(212a)에 저장, 관리되는 감사 자료분석을 위하여 ECA 능동 규칙(212b)을 트리거시킨다.Active database system 212 identifies insert, delete, and update operations performed by event classifier 211 and triggers ECA active rules 212b for audit data analysis stored and managed in database 212a.

사건(Event)은 사건 분류기(211)에 의해서 데이터베이스(212a)에 수행된 연산이 정의되고, 조건(Condition)은 감사 자료의 패턴을 체크하는 기능을 갖는다.An event is defined by the event classifier 211 and performed on the database 212a, and the condition has a function of checking a pattern of audit data.

조건 체크 결과가 널(NULL)이 아니거나 참(true)인 경우 조치(Action)에서 정의된 감사 자료의 분석을 수행한다.If the result of the condition check is not null or true, the analysis of the audit data defined in the Action is performed.

도 3은 본 발명에 따른 능동규칙을 이용한 감사 자료의 실시간 감사 분석 처리 흐름도로서, 합법적인 사용자 및 비합법적인 사용자가 시스템 자원을 이용하기 위하여 시스템에 서비스 요청이 있는가를 판단하여(S1) 요청이 있을 경우 시스템으로부터 로그정보를 획득한다(S2).3 is a flow chart of a real-time audit analysis process of the audit data using the active rule according to the present invention, when a legal user and an illegal user determine whether there is a service request in the system to use system resources (S1). Obtain log information from the system (S2).

이때, 사건 분류기는 감사 자료를 생성하여 데이터베이스에 기록하며(S3), 능동 데이터 시스템에서 삽입(Insert), 삭제(Delete), 갱신(Update) 사건을 발생한 후(S4) 감사 자료의 서비스 종류, 사용자 시간, 에러 상태를 검사한다(S5).At this time, the event classifier generates and records the audit data in the database (S3), and after the Insert, Delete, Update events occur in the active data system (S4), the service type of the audit data, the user Time and error state is checked (S5).

상기 감사 자료의 서비스 종류, 사용자 시간, 에러 상태를 검사 후 접속 정보의 능동 규칙의 조건이 참인지 거짓인지를 판단하여(S6) 참(true)일 경우 프로파일 및 규칙 데이터베이스로부터 정보를 읽어오고(S7), 거짓이면 활동 프로파일 및 규칙 정보를 읽어와서(S8) 감사 자료 분석을 수행한다(S9).After checking the service type, user time, and error state of the audit data, it is determined whether the condition of the active rule of the access information is true or false (S6). If true, information is read from the profile and rule database (S7). If false, the activity profile and rule information is read (S8) to perform audit data analysis (S9).

상기 분석 결과의 이상 상태를 판단하여(S10) 이상이 없으면, 프로파일 및 규칙 데이터베이스로부터 정보를 읽어오고, 감사 자료의 분석결과 이상 상태가 발견되면 시스템 관리자에게 경보를 울려 침입 사실을 알린다(S11).If there is no abnormality by determining an abnormal state of the analysis result (S10), information is read from the profile and rule database, and when an abnormal state is found as a result of analysis of the audit data, an alarm is notified to the system administrator (S11).

상술한 바와 같이 본 발명으로 인하여 실시간적인 분석 및 감사 개념을 필요로 하는 모든 환경에서 탁월한 효과를 발휘할 수 있으며, 더구나 인증 및 보안이 구현되는 시스템에서는 효과적인 실시간 분석결과를 이용하여 시스템 관리를 한층 더 강화시킬 수 있다.As described above, the present invention can exert an excellent effect in all environments that require real-time analysis and auditing concepts. Furthermore, in a system where authentication and security are implemented, system management is further enhanced by using effective real-time analysis results. You can.

현재 전산망 보안을 목적으로 연구되고 있는 방화벽 시스템은 전산망에 대한 불법적인 침입을 막기 위하여 전산망과 내부 전산망 사이에 위치, 프록시 서버(proxy server)에서 제공하는 사용자 접근제어 방법을 이용하여 내부 전산망을 보호하고자 하는 목적으로 운영되는 시스템으로, 본 발명에서 제시된 실시간 감사 자료의 분석방법이 이용될 수 있다.In order to prevent illegal intrusion into the computer network, the firewall system currently being researched for the security of the computer network is located between the computer network and the internal computer network and protects the internal computer network by using a user access control method provided by a proxy server. As a system operated for the purpose of, the analysis method of the real-time audit data presented in the present invention can be used.

또한 기업간의 표준화된 서식에 의하여 거래 정보를 전달하는 전자 문서 교환 시스템인 EDI 환경에서도 활용이 가능한 효과가 있다.In addition, there is an effect that can be used in the EDI environment, which is an electronic document exchange system that delivers transaction information by a standardized format between companies.

Claims (5)

능동규칙을 이용한 감사 자료의 실시간 분석 구조에 있어서,In the real-time analysis structure of audit data using active rules, 전산망에서 발생하는 로그정보를 이용하여 감사 자료를 생성하는 사건 분류기 데몬 프로세서와;An event classifier daemon processor for generating audit data by using log information generated from a computer network; 생성된 감사 자료의 분석 기능을 수행하는 비정상 탐지기와;An abnormality detector for analyzing the generated audit data; 분석된 감사 자료 중 비활동 감사 자료를 데이터베이스에 기록하는 감사 기록기와;An audit recorder for recording inactive audit data among the analyzed audit data in a database; 과거에 발생했던 감사 자료를 활용하여 사용자의 정상적인 패턴을 기술하는 프로파일 생성기와;A profile generator for describing a normal pattern of a user by using audit data generated in the past; 상기 감사 자료의 분석 규칙을 갱신하는 규칙 생성기와;A rule generator for updating an analysis rule of the audit data; 감사자로부터 서비스 요청시 감사 서비스를 제공하는 감사 제공기 인터페이스와;An audit provider interface for providing an audit service when requesting a service from an auditor; 비정상 사건 발생시 경보를 울려 시스템 관리자에게 침입 사실을 전달하는 경보기를 포함하는 것을 특징으로 하는 감사 자료의 실시간 분석기로 구성된 감사 시스템 내부 구조.Internal structure of the audit system consisting of a real-time analyzer of audit data, including an alarm to alert the system administrator by informing an alarm when an abnormal event occurs. 제 1 항에 있어서, 상기 능동 데이터베이스의 능동규칙을 이용한 감사 자료의 실시간 분석기는The method of claim 1, wherein the real-time analyzer of the audit data using the active rule of the active database 감사 분석에 필요한 감사 자료를 생성하는 사건 분류기와;An event classifier for generating audit data for audit analysis; 사건 분류기에 의해 수행된 연산을 실행하고 데이터베이스에 저장하는 능동 데이터베이스 시스템과;An active database system that executes operations performed by the event classifier and stores them in a database; 상기 능동 데이터베이스 시스템에 정보를 제공하는 프로파일 정보 제공부와;A profile information provider for providing information to the active database system; 능동 데이터베이스 시스템으로 비정상 패턴 규칙 정보를 제공하는 비정상 규칙 정보부로 이루어진 것을 특징으로 하는 감사 자료의 실시간 분석기로 구성된 감사 시스템 내부 구조.An internal structure of an audit system consisting of a real-time analyzer of audit data, characterized by an abnormal rule information section which provides abnormal pattern rule information to an active database system. 제 2 항에 있어서, 상기 사건 분류기는3. The event classifier of claim 2, wherein the event classifier 사용자 로그정보를 이용하여 감사 분석에 필요한 감사 자료를 생성하여 데이터베이스에 데이터베이스 연산을 실행하는 것을 특징으로 하는 감사 자료의 실시간 분석기.Real-time analyzer of audit data, characterized in that to generate the audit data for audit analysis by using the user log information and to perform database operations on the database. 제 2 항에 있어서, 상기 능동 데이터베이스 시스템은The system of claim 2, wherein the active database system is 사건 분류기에 의해 수행된 삽입, 삭제, 갱신 연산을 식별하고 데이터베이스에 저장, 관리되는 감사 자료 분석을 위해 ECA 능동규칙을 생성하는 것을 특징으로 하는 감사 자료의 실시간 분석기.A real-time analyzer of audit data characterized by generating ECA active rules for identifying insert, delete and update operations performed by the event classifier and for analyzing and storing audit data stored in a database. 전산망에서 발생하는 로그정보를 이용하여 감사 자료를 생성하는 사건 분류기 데몬 프로세스, 생성된 감사 자료의 분석 기능을 수행하는 비정상 탐지기, 분석된 감사 자료 중 비활동 감사 자료를 데이터베이스에 기록하는 감사 기록기, 과거에 발생했던 감사 자료를 활용하여 사용자의 정상적인 패턴을 기술하는 프로파일 생성기, 상기 감사 자료의 분석 규칙을 갱신하는 규칙 생성기, 감사자로부터 서비스 요청시 감사 서비스를 제공하는 감사 제공기 인터페이스, 비정상 사건 발생시 경보를 울려 시스템 관리자에게 침입 사실을 전달하는 경보기로 이루어진 감사 분석 처리 방법에 있어서,Event classifier daemon process that generates audit data by using log information generated from computer network, abnormal detector that analyzes generated audit data, audit recorder that records inactive audit data among analyzed audit data in database, past Profile generator that describes user's normal pattern by using audit data that occurred in the system, rule generator to update the analysis rule of audit data, audit provider interface that provides audit service when requesting service from auditor, alarm in case of abnormal event In the audit analysis processing method consisting of an alarm to alert the system administrator by informing the intrusion, 합법적인 사용자 및 비합법적인 사용자가 시스템 자원을 이용하기 위하여 시스템에 서비스 요청이 있는지를 판단하는 제 1 단계와;A first step of judging whether a legitimate user and an illegal user have a service request in the system to use system resources; 상기 판단 후 서비스 요청이 있을 경우 시스템으로부터 로그정보를 획득하는 제 2 단계와;Acquiring log information from the system when there is a service request after the determination; 상기 사건 분류기는 감사 자료를 생성하여 데이터베이스에 기록하며, 능동 데이터 시스템에서 삽입, 삭제, 갱신 사건을 발생시킨 후 감사 자료의 서비스 종류, 사용자 시간 및 에러 상태를 검사하는 제 3 단계와;The event classifier generates and records audit data in a database, and generates an insert, delete, and update event in an active data system, and then checks the service type, user time, and error state of the audit data; 상기 감사 자료의 상태 검사 후 접속 정보의 능동 규칙의 조건의 참 거짓을 판단하여 참일 경우 프로파일 및 규칙 데이터베이스로부터 정보를 읽어오는 제 4 단계와;A fourth step of judging true false of a condition of an active rule of access information after checking the state of the audit data and reading information from the profile and rule database if it is true; 상기 판단 후 능동 규칙의 조건이 거짓일 경우 활동 프로파일 및 규칙 정보를 읽어와서 감사 자료의 분석을 수행하는 제 5 단계와;A fifth step of reading the activity profile and the rule information and performing the analysis of the audit data when the condition of the active rule is false after the determination; 상기 분석결과의 이상 상태를 판단하여 이상이 없으면 프로파일 및 규칙 데이터베이스로부터 정보를 읽어오는 제 6 단계와;A sixth step of determining an abnormal state of the analysis result and reading information from the profile and rule database if there is no abnormality; 감사 자료의 분석결과 이상 상태가 발견되면 시스템 관리자에게 경보를 울려 침입 사실을 알리는 제 7 단계를 포함하는 것을 특징으로 하는 감사 자료의 실시간 분석방법 및 처리 알고리즘.And a seventh step of alerting the system administrator of an intrusion when an abnormal condition is found as a result of the analysis of the audit data.
KR1019970049764A 1997-09-29 1997-09-29 Real-time analysis technique of audit data and method thereof KR100241361B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1019970049764A KR100241361B1 (en) 1997-09-29 1997-09-29 Real-time analysis technique of audit data and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1019970049764A KR100241361B1 (en) 1997-09-29 1997-09-29 Real-time analysis technique of audit data and method thereof

Publications (2)

Publication Number Publication Date
KR19990027327A true KR19990027327A (en) 1999-04-15
KR100241361B1 KR100241361B1 (en) 2000-02-01

Family

ID=19521916

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019970049764A KR100241361B1 (en) 1997-09-29 1997-09-29 Real-time analysis technique of audit data and method thereof

Country Status (1)

Country Link
KR (1) KR100241361B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010038113A (en) * 1999-10-22 2001-05-15 박성범 Method For Searching Of Hacking And Auditing Trail In Computer Network
KR20010070729A (en) * 2001-06-02 2001-07-27 유진영 Secure cop
KR20010084950A (en) * 2001-06-02 2001-09-07 유진영 Secure worm
KR100369535B1 (en) * 2000-04-07 2003-01-29 주식회사 디지털씨큐 Apparatus for memorizing log data through tele-communication and method there of
KR100647413B1 (en) * 1999-12-18 2006-11-17 주식회사 케이티 Apparatus and method for generating firewall code in central management security system
CN112711772A (en) * 2020-12-30 2021-04-27 杭州未名信科科技有限公司 Auditing system, method and storage medium for function execution in service

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100427449B1 (en) * 2001-12-14 2004-04-14 한국전자통신연구원 Intrusion detection method using adaptive rule estimation in nids

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010038113A (en) * 1999-10-22 2001-05-15 박성범 Method For Searching Of Hacking And Auditing Trail In Computer Network
KR100647413B1 (en) * 1999-12-18 2006-11-17 주식회사 케이티 Apparatus and method for generating firewall code in central management security system
KR100369535B1 (en) * 2000-04-07 2003-01-29 주식회사 디지털씨큐 Apparatus for memorizing log data through tele-communication and method there of
KR20010070729A (en) * 2001-06-02 2001-07-27 유진영 Secure cop
KR20010084950A (en) * 2001-06-02 2001-09-07 유진영 Secure worm
CN112711772A (en) * 2020-12-30 2021-04-27 杭州未名信科科技有限公司 Auditing system, method and storage medium for function execution in service

Also Published As

Publication number Publication date
KR100241361B1 (en) 2000-02-01

Similar Documents

Publication Publication Date Title
US7941857B2 (en) Data network and method for checking nodes of a data network
CN111800395A (en) Threat information defense method and system
JP4283228B2 (en) Method and system for responding to computer intrusion
CN108768989A (en) It is a kind of using the APT attack defense methods of mimicry technology, system
Lindqvist et al. eXpert-BSM: A host-based intrusion detection solution for Sun Solaris
CN112115482A (en) Big data-based data security monitoring system for protecting data
KR100241361B1 (en) Real-time analysis technique of audit data and method thereof
Katkar Anjali et al. Web vulnerability detection and security mechanism
Vigna et al. Host-based intrusion detection
Raut Log based intrusion detection system
Jiang et al. Tracing worm break-in and contaminations via process coloring: A provenance-preserving approach
KR20100067383A (en) Server security system and server security method
Malviya et al. Improving security by predicting anomaly user through web mining: a review
US20190173908A1 (en) Automatic User Session Profiling System for Detecting Malicious Intent
Ko System health and intrusion monitoring (shim): project summary
Patel et al. Malware Detection Using Yara Rules in SIEM
US20230247040A1 (en) Techniques for cloud detection and response from cloud logs utilizing a security graph
US20230315849A1 (en) Threat signature scoring
Berger et al. Closing the loop: Network and in-host monitoring tandem for comprehensive cloud security visibility
Simion et al. INTEGRATED MANAGEMENT SYSTEM IN THE FIELD OF CYBER SECURITY DE MANAGEMENT
Fortier et al. Network profiling and data visualization
Onabuta et al. A protection mechanism for an intrusion detection system based on mandatory access control
Ghazzawi et al. Design and Implementation of an Efficient Intrusion Response System for 5G RAN Baseband Units
Mathews Creating a Collaborative Situational-Aware IDS
Olaussen Towards a Security Design Pattern for Web APIs

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20081104

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee