KR20030023048A - Method for real-time auditing a Network - Google Patents

Method for real-time auditing a Network Download PDF

Info

Publication number
KR20030023048A
KR20030023048A KR1020010055965A KR20010055965A KR20030023048A KR 20030023048 A KR20030023048 A KR 20030023048A KR 1020010055965 A KR1020010055965 A KR 1020010055965A KR 20010055965 A KR20010055965 A KR 20010055965A KR 20030023048 A KR20030023048 A KR 20030023048A
Authority
KR
South Korea
Prior art keywords
event log
group
log group
event
real
Prior art date
Application number
KR1020010055965A
Other languages
Korean (ko)
Other versions
KR100458816B1 (en
Inventor
이용균
박규형
전법훈
차수길
박현태
주정호
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=27723583&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=KR20030023048(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR10-2001-0055965A priority Critical patent/KR100458816B1/en
Publication of KR20030023048A publication Critical patent/KR20030023048A/en
Application granted granted Critical
Publication of KR100458816B1 publication Critical patent/KR100458816B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

PURPOSE: A real-time security audit method is provided to analyze thousands of event log-in occurring every time, in an IDS(Intrusion Detection System), a firewall and a system connected by a user. CONSTITUTION: An intrusion detection event log group, a firewall event log group and a system event log group stored in a database are simultaneously displayed on a display part of a real-time analyzer(52). The first event log for security audio is selected from the displayed intrusion detection event log group, firewall event log group or system event log group(54). The second event log group to be connectively analyzed from event log groups excepting the first event log group is selected(56). A connective analysis condition for connectively analyzing the first event log and the second event log group is selected(58). The first event log and the second event log group are compared and analyzed based on the selected connective analysis condition, and the second event logs meeting the connective analysis condition are searched from the second event log group(60,62). And the searched second event logs are displayed on the display part of the real-time analyzer(66).

Description

실시간 보안 감사 방법{Method for real-time auditing a Network}{Method for real-time auditing a network}

본 발명은 네트워크 환경하에서 해킹과 같은 이상징후를 감사하는 방법에 관한 것으로, 특히 침입탐지 이벤트 로그, 침입차단 이벤트 로그와 시스템 이벤트 로그를 실시간으로 분석하여 침입 패턴의 파악, 침입 차단 여부, 침입이 허용된 경우의 추후의 시스템 사용 내역 등을 실시간으로 분석할 수 있게 하는 실시간 보안 감사 방법에 관한 것이다.The present invention relates to a method for auditing abnormal symptoms such as hacking in a network environment. In particular, the present invention analyzes an intrusion detection event log, an intrusion blocking event log, and a system event log in real time to identify an intrusion pattern, whether an intrusion is blocked, and allow an intrusion The present invention relates to a real-time security auditing method that enables a real-time analysis of future system usage in case of failure.

International이라는 단어와 Network라는 단어의 합성어인 인터넷은 1969년 미국 국방성의 지원으로 미국의 4개의 대학을 연결하기 위해 구축된 알파넷(ARPANET)에서 그 근원을 찾을 수 있다. 처음에는 군사적 목적으로 도입된 것이지만 최근들어 상용화의 물결에 힘입어 전세계의 수많은 사람들이 인터넷을 이용하고 있고 이를 근거로 전자우편(e-mail), 원격 컴퓨터 연결(telnet), 파일 전송(FTP), 유즈넷 뉴스(Usenet News), 인터넷 정보 검색(Gopher), 인터넷 대화와 토론(IRC), 전자 게시판(BBS), 하이퍼텍스트 정보 열람(WWW:World Wide Web), 온라인 게임, 동화상이나 음성 데이터를 실시간으로 방송하는 서비스나 비디오 회의 등 새로운 서비스가 차례로 개발되어 이용 가능하게 되었다. 이와 같이 인터넷의 상용화가 급속하게 퍼져나감에 따라 전세계가 하나의 인터넷망에 연결되고 인터넷에 의한 현대인들의 생활의 편의도 날로 높아져만 가고 있다. 그러나 이러한 인터넷의 이면에는 현대인들의 편리 이외의 정보 누설 등과 같은 위험요소들이 도사리고 있는데 일명 해커라고 지칭되는 범죄자들에 의한 정보 파괴, 정보 유출, 불법침입에 의한 시스템의 교란 및 파괴 등이 쉽게 이루어질 수 있는 문제점이 발생하게 되었다. 이러한 해킹을 방지하기 위해서 내부자 또는 외부자에 의한 허가되지 않은 침입을 사전에 차단하여 네트워크의 보안유지의 안정성을 확보할 수 있는 보안 솔루션이 사용되고 있다. 대표적으로는 침입탐지 시스템(Intrusion Detention System:IDS), 침입차단 시스템인 방화벽(Fire Wall)과 서버 보안시스템 등을 그 일예로 들 수 있다.The Internet, a combination of the word International and the word Network, can be found in the ARPANET, which was established in 1969 with the support of the US Department of Defense to link four universities in the United States. It was initially introduced for military purposes, but recently, thanks to the wave of commercialization, millions of people around the world are using the Internet, based on e-mail, remote computer connections, file transfers (FTP), Usenet News, Internet Information Search (Gopher), Internet Conversation and Discussion (IRC), Bulletin Board (BBS), Hypertext Information View (WWW: World Wide Web), Online Games, Movies, or Voice Data in Real Time New services, such as broadcasting services and video conferencing, were developed and available in turn. As the commercialization of the Internet spreads rapidly, the whole world is connected to one Internet network, and the convenience of modern people's life by the Internet is increasing day by day. However, there are risk factors such as information leakage other than the convenience of modern people on the other side of the Internet, which can be easily disrupted and destroyed by criminals called hackers, information leakage, and illegal intrusion. Problems have arisen. In order to prevent such hacking, security solutions are being used to secure the security of network security by preventing unauthorized intrusion by insiders or outsiders in advance. Representative examples include intrusion detection system (IDS), intrusion prevention system (Fire Wall) and server security system.

여기서 침입탐지시스템은 네트워크상의 패킷정보를 수집하여 침입패턴DB를 참조하여 불법적인 침입 행위를 탐지하여 관리자에게 알려주는 시스템이며, 방화벽은 네트워크 사이에 침입차단시스템을 두어 허가되지 않은 침입에 대한 접속을 차단하는 시스템이다.Intrusion detection system is a system that collects packet information on network and detects illegal intrusion by referring to intrusion pattern DB and informs administrator. Firewall has intrusion prevention system between networks to prevent unauthorized intrusion. It is a system to block.

이와 같이 침입탐지시스템과 침입차단시스템 등과 같은 보안 솔루션을 설치한다 하더라도 이러한 솔루션들은 단지 관리자에게 네트워크상의 이상징후를 판단할 수 있는 정보를 제공할 뿐이며 실제 해커에 의해 침입이 발생했는지 여부와 침입이 발생했다면 어떠한 불법적인 행위들이 진행되었는지 여부에 대해서는 관리자가 사후적으로 보안감사를 실시해야 한다. 그러나 침입탐지시스템, 침입차단시스템은 그 시스템의 특성상 종합감사를 하기에는 일정 한계를 갖고 있으며 이러한 한계를 극복하기 위해서는 각각의 이벤트 로그를 종합적으로 연계분석하여야 한다.Even if security solutions such as intrusion detection system and intrusion prevention system are installed, these solutions only provide administrators with information to determine abnormal symptoms on the network. If so, the administrator should conduct a security audit afterwards to see what illegal activities have been done. However, intrusion detection system and intrusion prevention system have certain limitations for comprehensive audit due to the characteristics of the system. To overcome these limitations, each event log must be comprehensively analyzed.

이하에서는 본 발명의 이해의 편의를 위해 종래의 보안 감사 방법에 대하여 설명하고자 한다.Hereinafter, a conventional security audit method will be described for the convenience of understanding the present invention.

침입탐지시스템의 이벤트 로그는 출발지 주소, 목적지 주소와 탐지된 유형의 패턴에 대한 사항만을 기록하고 있기 때문에 침입탐지시스템만으로는 탐지된 패킷이 추후 어떻게 처리되었는지 여부(접속이 허용되었는지 여부)에 대해서는 파악할 수 없다. 또한 침입차단시스템의 이벤트 로그는 정의된 룰에 따라 허용할 패킷과 거부할 패킷에 대한 사항만을 기록하고 있기 때문에 침입차단시스템을 속여서 허용된 패킷을 탐지할 수 없는 한계점을 가지고 있다. 그리고 시스템의 이벤트 로그는 어떤 사용자가 어떤 프로그램을 사용했는지에 대한 행위를 기록할 뿐이기 때문에 이 사용자가 허용된 사용자인지 여부에 대한 정보를 알 수 없는 한계점을 가지고 있다. 따라서 종합 보안 감사는 이러한 여러가지 이벤트 로그를 연계하여 분석하는 과정이 필수적인데, 이러한 보안 감사는 침입탐지시스템의 이벤트 로그를 분석하여 탐지된 유형의 패턴을 분석하고 침입차단시스템의 이벤트 로그를 분석하여 침입탐지 시스템에 의해 탐지된 유형의 패턴이 침입차단시스템에서 어떻게 처리되었는지 여부(허용되었는지 여부)를 검토하며, 허용되었다면 사용자가 접속한 시스템의 이벤트 로그를 분석하여 어떠한 작업이 진행되었는 지를 검토하는 단계를 거쳐 진행된다. 이와 같이 침입탐지 시스템과 침입차단 시스템은 관리자가 침입 여부 등을 판단할 수 있는 정보만을 제공하고, 관리자는 직접 여러가지 이벤트를 분석하기 위하여 여러가지 로그 분석기를 사용하거나 수작업에 의해 하나하나 대조하는 방법을 통해 보안 감사를 하게 된다. 사정이 이러하다 보니 통상 침입이 발생된 후에야 사후적으로 침입 여부를 알 수 있는 경우가 일반적이어서 침입탐지 시스템과 침입차단 시스템의 본연의 목적을 다하지 못하는 문제점이 발생되었고 특히 인터넷의 상용화에 따라 매시간마다 수천 내지 수만개의 이벤트 로그가 발생되는 요즘에는 그 문제점이 더욱 심각하게 대두되어 효율적인 보안 감사가 그 어느 때보다 절실히 요구되고 있다.The event log of the intrusion detection system only records the source address, the destination address, and the pattern of the detected type, so the intrusion detection system alone can determine how the detected packet was processed later (access allowed). none. In addition, since the event log of the intrusion prevention system records only the information about the packet to be allowed and the packet to be rejected according to the defined rule, the intrusion prevention system has the limitation that it cannot detect the allowed packet by tricking the intrusion prevention system. And since the system's event log only records what program was used by which user, it has a limitation of not knowing whether the user is an allowed user. Therefore, comprehensive security auditing is essential to the process of linking these various event logs. This security audit analyzes the event log of intrusion detection system, analyzes patterns of detected types, and analyzes the event log of intrusion prevention system. Review how the type of pattern detected by the detection system was handled (allowed) by the intrusion prevention system, and if allowed, analyze the event log of the system the user accessed to review what happened. It goes through. In this way, the intrusion detection system and the intrusion prevention system provide only information for the administrator to determine whether the intrusion, etc., and the administrator uses various log analyzers or manually compares one by one to analyze various events. You will have a security audit. As a result of this situation, it is common to know whether an invasion has occurred after an invasion has occurred in general, so that the problem of intrusion detection system and intrusion prevention system has not been fulfilled. Nowadays, when tens of thousands of event logs are generated, the problem becomes more serious and efficient security audits are more urgently needed than ever before.

본 발명은 상기한 종래 기술의 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 침입탐지 시스템, 침입차단 시스템과 사용자가 접속한 시스템에서 매 시간마다 발생되는 수천 내지 수만개의 이벤트 로그를 실시간으로 분석할 수있는 보안감사 방법을 제공하는 것이다.The present invention has been made to solve the above problems of the prior art, an object of the present invention is to record in real time the thousands to tens of thousands of event log generated every hour in an intrusion detection system, intrusion prevention system and the user connected system It is to provide a security audit method that can be analyzed.

도1은 본 발명의 실시간 보안 감사 방법이 구현되는 시스템의 구성도.1 is a block diagram of a system in which the real-time security audit method of the present invention is implemented.

도2는 본 발명의 실시간 보안 감사 방법의 흐름도.2 is a flow chart of a real time security audit method of the present invention.

도3은 본 발명의 실시간 보안 감사 방법을 구현한 실시예의 흐름도.Figure 3 is a flow diagram of an embodiment implementing the real time security audit method of the present invention.

도4는 본 발명의 실시간 보안 감사 방법을 구현한 실시례로서, 침입탑지 이벤트로그 그룹, 침입차단이벤트 로그 그룹과 시스템 이벤트 로그 그룹이 하나의 화면에 통합되어 있는 것을 도시하는 도면.4 is a view showing an embodiment of implementing the real-time security audit method of the present invention, in which the intrusion tower event log group, the intrusion blocking event log group, and the system event log group are integrated into one screen.

도5a 내지 도5c는 본 발명의 실시간 보안 감사 방법을 구현하는 과정을 나타내는데, 특히 침입탐지 이벤트 로그와 침입차단 이벤트 로그 그룹을 연계하여 보안 감사하는 과정을 도시하는 도면.5A to 5C illustrate a process of implementing the real-time security auditing method of the present invention, and in particular, a process of security auditing in association with an intrusion detection event log and an intrusion prevention event log group.

본 발명은 침입탐지 시스템, 침입차단 시스템과 일반 시스템으로부터 각각 침입탐지 이벤트 로그, 침입차단 이벤트 로그 그리고 시스템 이벤트 로그를 수집하는 이벤트 로그 수집기와, 상기 이벤트 로그 수집기에 의해 수집된 각종 이벤트 로그를 침입탐지 이벤트 로그 그룹, 침입차단 이벤트 로그 그룹과 시스템 이벤트 로그 그룹별로 구분 저장하는 데이타 베이스와, 상기 데이터 베이스와 연동되어 보안 감사를 실시하는 중앙처리수단과 그 결과를 표시해 주는 표시부를 가진 실시간 분석기로 구성되는 보안감사 시스템에서 전산망의 이상징후를 보안감사하는 방법에 있어서, 상기 실시간 분석기의 표시부에 상기 데이터 베이스에 저장된 침입탐지 이벤트 로그 그룹, 침입차단 이벤트 로그 그룹와 시스템 이벤트 로그 그룹을 동시에 표시하는 제1단계와, 상기 실시간 분석기의 표시부에 표시된 침입탐지 이벤트 로그 그룹, 침입차단 이벤트 로그 그룹 또는 시스템 이벤트 로그 그룹으로 부터 보안 감사할 제1이벤트 로그를 선택하는 제2단계와, 상기 제1이벤트 로그가 속한 그룹을 제외한 이벤트 로그 그룹으로부터 연계 분석될 제2 이벤트 로그 그룹을 선정하는 제3단계와, 상기 제1이벤트 로그와 제2이벤트 로그 그룹을 연계 분석할 연계 분석 조건을 선택하는 제4단계와, 상기 제4단계에서 선정된 연계 분석 조건에 기준하여 제1이벤트 로그와 제2 이벤트 로그 그룹을 비교분석하고 연계 분석 조건을 만족하는 제2이벤트 로그들을 제2이벤트 로그 그룹으로부터 검색하는 제5단계와, 상기 제5단계를 거쳐 발생된 제2이벤트 로그들을 상기 실시간 분석기의 표시부에 표시해주는 제6단계로 구성되며, 상기 제1단계 내지 제6단계가 상기 보안감사 시스템의 실시간 분석기에 의해 실시간으로 진행되는 것을 특징으로 하는 실시간 보안 감사방법에 관한 것이다.The present invention provides an intrusion detection system, an event log collector for collecting an intrusion detection event log, an intrusion prevention event log, and a system event log from an intrusion detection system, an intrusion prevention system, and a general system, respectively, and various event logs collected by the event log collector. It consists of a database for storing the event log group, intrusion prevention event log group and system event log group, and a real-time analyzer with a central processing unit for security audit in conjunction with the database and a display unit for displaying the result. A method for security auditing an abnormal symptom of a computer network in a security audit system, the method comprising: simultaneously displaying an intrusion detection event log group, an intrusion prevention event log group, and a system event log group stored in the database on a display unit of the real-time analyzer; Selecting a first event log to be audited from an intrusion detection event log group, an intrusion prevention event log group, or a system event log group displayed on a display unit of the real-time analyzer; and a group to which the first event log belongs. A third step of selecting a second event log group to be linked and analyzed from the excluded event log group, a fourth step of selecting a linked analysis condition to be linked and analyzed the first event log and the second event log group, and the fourth step; A fifth step of comparing and analyzing the first event log and the second event log group based on the linkage analysis condition selected in the step and searching for second event logs satisfying the linkage analysis condition from the second event log group; And a sixth step of displaying second event logs generated through five steps on the display unit of the real-time analyzer. Steps to sixth step relates to a real-time security audit method, characterized in that the real-time analysis of the security audit system proceeds in real time.

상기 제4단계의 연계 분석 조건은 시간, 출발지 주소, 목적지 주소, 침입탐지 시스템의 주소와 침입차단 시스템의 주소로 이루어진 그룹으로부터 선택된다.The association analysis condition of the fourth step is selected from the group consisting of time, starting address, destination address, intrusion detection system address and intrusion prevention system address.

상기 제1 이벤트 로그는 침입 탐지 이벤트 로그 그룹에서 선택되고 상기 제2 이벤트 로그 그룹은 침입 차단 이벤트 로그 그룹일 수 있다.The first event log may be selected from an intrusion detection event log group, and the second event log group may be an intrusion prevention event log group.

상기 제1 이벤트 로그는 침입 탐지 이벤트 로그 그룹에서 선택되고 상기 제2이벤트 로그 그룹은 시스템 이벤트 로그 그룹일 수 있다.The first event log may be selected from an intrusion detection event log group, and the second event log group may be a system event log group.

상기 제1 이벤트 로근는 침입 차단 이벤트 로그 그룹에서 선택되고 상기 2이벤트 로그 그룹은 시스템 이벤트 로그 그룹일 수 있다.The first event log may be selected from an intrusion prevention event log group, and the second event log group may be a system event log group.

이하, 첨부도면을 참조하여 본 발명의 실시례를 상세하게 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도1은 본 발명의 실시간 보안 감사방법을 수행하는 시스템에 대한 전체 구성도를 나타낸다. 도1에 도시된 바에 의하면, 본 발명의 실시간 보안 감사방법을 수행하는 시스템은 이벤트 로그 수집기와 이벤트 로그 수집기에 의해 수집된 각종 이벤트 로그를 저장하는 데이터베이스와 그 테이터 베이스와 연동되어 각종 이벤트 로그를 실시간으로 분석하는 실시간 분석기로 구성된다.Figure 1 shows the overall configuration of a system for performing a real-time security audit method of the present invention. As shown in Figure 1, the system for performing the real-time security audit method of the present invention is linked to the database and the database for storing the various event logs collected by the event log collector and the event log collector in real time to the various event logs It consists of a real-time analyzer to analyze.

상기 이벤트 로그 수집기(20)는 침입탐지 시스템(12)와 침입차단 시스템(14)와 사용자가 접속한 시스템(16)의 로그 정보를 수집하여 데이터베이스(30)에 기록한다.The event log collector 20 collects log information of the intrusion detection system 12, the intrusion blocking system 14, and the system 16 connected to the user and records the log information in the database 30.

상기 데이터 베이스(30)는 상기 이벤트 로그 수집기에 의해 수집된 각종 이벤트 로그를 그룹별로 구분하여 기록하고 있는데, 침입탐지 시스템(12)으로부터 수집된 이벤트 로그는 사용자의 출발지 주소, 목적지 주소, 접속 시각, 탐지된 유형의 패턴과 침입탐지 시스템의 주소 등에 대한 정보를 가지고 있으며, 침입차단 시스템(12)으로부터 수집된 이벤트 로그는 출발지 주소, 목적지 주소, 접속 시각, 패킷의 허용 여부와 침입차단시스템의 주소에 대한 정보 등를 가지고 있고, 시스템(16)의 이벤트 로그는 출발지 주소와 목적지 주소와 접속 시각과 접속후 시스템 사용내역(사용시간, 사용 프로그램 등)에 대한 정보 등을 가지고 있다.The database 30 records various event logs collected by the event log collector by group, and the event logs collected from the intrusion detection system 12 include a user's source address, a destination address, an access time, It contains information about the detected pattern and the address of the intrusion detection system, and the event log collected from the intrusion prevention system 12 includes the source address, the destination address, the access time, the packet acceptance and the address of the intrusion prevention system. The event log of the system 16 includes information about a source address, a destination address, a connection time, and a system usage history (use time, use program, etc.) after the connection.

상기 실시간 분석기(40)는 데이터베이스(30)에 저장된 각종 이벤트 로그에 대한 분석 작업을 수행하는 공지된 중앙처리수단과 메모리부와 처리 결과를 표시해주는 표시부를 포함하고, 이러한 공지된 수단들로 데이터 베이스(30)에 저장된 각종 이벤트 로그 정보에 대해 실시간 보안 감사를 수행하는데, 그 보안 감사 방법에 대해서는 아래에서 도2 내지 도5를 참조하여 설명한다.The real-time analyzer 40 includes a well-known central processing unit for performing analysis on various event logs stored in the database 30, a memory unit, and a display unit for displaying a processing result. Real-time security auditing is performed on various event log information stored in 30. The security auditing method will be described below with reference to FIGS.

도2 내지 도3은 본 발명의 보안 감사 방법에 대한 흐름도를 나타낸다.2 to 3 show a flow chart of the security audit method of the present invention.

본 발명은 침입탐지 시스템(12), 침입차단 시스템(14)과 일반 시스템(16)으로부터 각각 침입탐지 이벤트 로그, 침입차단 이벤트 로그 그리고 시스템 이벤트 로그를 수집하는 이벤트 로그 수집기(20)와, 상기 이벤트 로그 수집기(20)에 의해 수집된 각종 이벤트 로그를 그룹별로 저장하는 데이타 베이스(30)와, 상기 데이터 베이스(30)와 연동되어 보안 감사를 실시하는 공지된 중앙처리수단(중앙처리 장치(CPU) 및 메모리 포함, 도시되지 않음)과 그 결과를 표시해 주는 표시부(도시되지 않음)를 가진 실시간 분석기(40)로 구성되는 보안감사 시스템에서 전산망의 이상징후를 보안감사하는 방법에 관한 것인데, 상기 실시간 분석기의 표시부에 상기 데이터 베이스에 저장된 침입탐지 이벤트 로그 그룹과, 침입차단 이벤트 로그 그룹과 시스템 이벤트 로그 그룹을 동시에 표시하는 제1단계(52,91)와, 상기 실시간 분석기의 표시부에 표시된 침입탐지 이벤트 로그 그룹, 침입차단 이벤트 로그 그룹또는 시스템 이벤트 로그 그룹 중 하나의 그룹에서 제1이벤트 로그를 선택하는 제2단계와(54,93,116), 상기 제1이벤트 로그 그룹을 제외한 이벤트 로그 그룹으로부터 연계 분석될 제2 이벤트 로그 그룹을 선정하는 제3단계와(56, 95, 105,117), 상기 제1이벤트 로그와 제2이벤트 로그 그룹을 연계 분석할 연계 분석 조건을 선택하는 제4단계와(58, 96, 106, 118), 상기 제4단계에서 선정된 연계 분석 조건에 기준하여 제1이벤트 로그와 제2 이벤트 로그 그룹를 비교분석하고 연계 분석 조건을 만족하는 제2이벤트 로그들을 제2이벤트 로그 그룹으로부터 검색하는 제5단계와(62, 64, 100, 110, 122), 상기 제5단계를 거쳐 발생된 제2이벤트 로그들을 상기 실시간 분석기의 표시부에 표시해 주는 제6단계(66, 104, 128, 126)로 구성되며 상기 보안감사 시스템의 실시간 분석기에 의해 실시간으로 진행된다.The present invention provides an event log collector 20 for collecting an intrusion detection event log, an intrusion prevention event log, and a system event log from the intrusion detection system 12, the intrusion blocking system 14, and the general system 16, respectively, and the event. A database 30 for storing various event logs collected by the log collector 20 for each group, and a known central processing unit (CPU) for interworking with the database 30 to perform security audits. And a real-time analyzer 40 including a memory (not shown) and a real-time analyzer 40 having a display unit (not shown) for displaying a result thereof. Intrusion detection event log group, intrusion prevention event log group and system event log group A second step of selecting a first event log from a group of intrusion detection event log groups, intrusion prevention event log groups, or system event log groups displayed on the display unit of the real-time analyzer; Step (54, 93, 116), a third step (56, 95, 105, 117) of selecting a second event log group to be linked and analyzed from the event log group other than the first event log group; A fourth step (58, 96, 106, 118) of selecting a linkage analysis condition for linkage analysis of the event log group; and a first event log and a second event log based on the linkage analysis conditions selected in the fourth step; A fifth step (62, 64, 100, 110, 122) of comparing and analyzing the group and searching the second event logs satisfying the association analysis condition from the second event log group; and the second event generated through the fifth step Remind logs The sixth step (66, 104, 128, 126) to be displayed on the display unit of the real-time analyzer is performed in real time by the real-time analyzer of the security audit system.

상기 제1단계는 도4에 도시된 바와 같이 공지된 프로그래밍 기술에 의해 침입탐지 이벤트 로그 그룹(142), 침입차단이벤트 로그 그룹(144)과 시스템 이벤트 로그 그룹(140)이 하나의 화면에 통합적으로 표시됨으로써 구현된다(52).In the first step, as shown in FIG. 4, the intrusion detection event log group 142, the intrusion prevention event log group 144, and the system event log group 140 are integrated on one screen by a known programming technique. It is implemented by being represented 52.

상기 제2단계는 침입탐지 이벤트 로그 그룹, 침입차단 이벤트 로그 그룹, 시스템 이벤트 로그 그룹 중에서 제1이벤트 로그를 선정하는 단계이며 제3단계는 제1이벤트 로그가 속한 이벤트 로그 그룹을 제외한 나머지 2개의 이벤트 로그 그룹 중에서 제2이벤트 로그 그룹을 선정하는데, 이러한 제2단계 또는 제3 단계는 보안 감사의 목적이 무엇인지 여부에 따라 달라질 수 있다(54,56). 도3에 도시된 바에 의하면, 사용자의 접속 허용 여부를 감사하고자 할 때 제1이벤트 로그는 침입탐지 이벤트 로그 그룹으로부터 선정되고(93) 연계될 제2이벤트 로그 그룹은 침입 차단 이벤트 로그 그룹 또는 시스템 이벤트 로그 그룹이 될 것이며(95, 105), 접속이 허용된 후의 시스템 사용내역(예컨대 어떠한 프로그램을 얼마 동안 사용했는 지 등)을 감사하고자 하는 경우에 제1이벤트 로그는 침입차단 이벤트 로그 그룹(116) 또는 침입탐지 이벤트로그 그룹(93)으로 부터 선정 될 것이고, 제2 이벤트 로그 그룹은 시스템 이벤트 로그 그룹(95, 117)이 될 것이다.The second step is to select the first event log from the intrusion detection event log group, the intrusion prevention event log group, the system event log group, and the third step is the remaining two events except the event log group to which the first event log belongs A second event log group is selected from the log groups. The second or third step may vary depending on what the purpose of the security audit is (54, 56). As shown in FIG. 3, when an auditor wants to audit whether a user is allowed to access, a first event log is selected from an intrusion detection event log group (93), and a second event log group to be linked is an intrusion prevention event log group or a system event. Log group (95, 105), and the first event log is the intrusion event log group 116 when it is desired to audit system usage (e.g., how long and for what program use) after the connection is allowed. Alternatively, the intrusion detection event log group 93 may be selected, and the second event log group may be the system event log groups 95 and 117.

상기 제4단계는 제2단계와 제3단계에서 선정된 제1이벤트 로그 및 제2 이벤트 로그 그룹을 연계 분석할 조건을 선택하는 단계이다(58, 96, 106, 118, 152). 연계 분석 조건은 제1이벤트 로그와 제2이벤트 로그 그룹을 연계분석한 후 관리자에게 제공될 보안 감사 결과물의 범위를 정하는 기준이 되는 것으로, 시간, 출발지 주소, 목적지 주소 및 침입탐지 시스템(12) 내지 침입차단시스템(14)의 IP 주소가 그 기준이 될 수 있으며, 그 중 하나만 선택될 수도 있고 복수로 선택될 수도 있다(58,146).The fourth step is a step of selecting conditions for performing a cooperative analysis of the first event log and the second event log group selected in the second and third steps (58, 96, 106, 118, 152). The linkage analysis condition is a criterion for determining the scope of the security audit output to be provided to the administrator after linkage analysis of the first event log and the second event log group. The time, source address, destination address, and intrusion detection system 12 to The IP address of the intrusion prevention system 14 may be a criterion, and only one of them may be selected or a plurality may be selected (58, 146).

상기 제5단계는 제4단계에서 정해진 연계분석 조건에 기준하여 제1이벤트 로그와 제2이벤트 로그 그룹을 연계분석하고 연계분석 조건을 만족하는 제2 이벤트 로그를 제2이벤트 로그 그룹으로부터 검색하는 단계이다(62, 100, 110, 122)In the fifth step, the first event log and the second event log group are jointly analyzed based on the linkage analysis condition determined in the fourth step, and the second event log that satisfies the linkage analysis condition is searched from the second event log group. (62, 100, 110, 122)

상기 제6단계는 제5단계에 의한 연계분석 결과를 관리자에게 표시해주는 단계이며, 관리자의 모니터 화면에 결과를 표시해줌으로서 구체화 된다(66, 104,114, 126,148).The sixth step is a step of displaying the result of the linkage analysis according to the fifth step to the manager, which is embodied by displaying the result on the monitor screen of the manager (66, 104, 114, 126, 148).

이하에서는 제1 이벤트 로그를 침입탐지 이벤트 로그로, 제2이벤트 로그 그룹을 침입차단이벤트 로그 그룹으로 하여 상호 연계분석함으로써 사용자의 침입시도가 허가되었는지 여부를 감사하는 실제 구현예를 도4, 도5a 내지 도5c를 참조하여 설명한다.Hereinafter, an actual implementation of auditing whether or not an intrusion attempt is permitted by a user by correlating and analyzing the first event log as the intrusion detection event log and the second event log group as the intrusion prevention event log group will be described with reference to FIGS. 4 and 5A. This will be described with reference to Fig. 5C.

도4는 침입탐지 이벤트 로그 그룹(142), 침입차단이벤트 로그 그룹(144)과 시스템 이벤트 로그 그룹(140)이 하나의 화면에 통합되어 있는 것을 도시하고 있고, 도5a는 화면의 상단에 침입탐지 이벤트 로그 그룹(142)이, 화면의 하단에는 침입차단 이벤트 로그 그룹(144)이 배열된 상태를 도시하고 있다. 관리자는 먼저 침입탐지 이벤트 로그 그룹(142)에서 보안감사하고자 하는 침입탐지 이벤트 로그(142a)를 마우스로 클릭하여 제1이벤트 로그를 선정한 후 드래그하여 침입차단 이벤트 그룹(144)에 드롭함으로서 연계분석할 제2이벤트 그룹(144)을 선정하고(도5b 참조), 도5b에 도시된 바와 같이 연계분석 조건[Date/Time(시간), Origin(IDS의 IP), Source(출발지 IP), Destination(목적지 IP)]을 물어오는 창이 나타나면 연계분석조건을 '시간'으로 지정하여 동일한 '시간'대에서의 보안감사를 실시하면서 동일한 '시간' 에서의 침입차단 시스템에서의 대응 결과를 반복적으로 검색한다. 도5c는 상기 검색 결과를 보여주는데 침입탐지 시스템에서는 제1이벤트 로그(142a)에 대해 침입차단 시스템에서는 4개의 침입 차단 이벤트 로그를 발생시켰고 모두 접속을 거부(drop,156a)했다는 것을 알 수 있다.4 shows an intrusion detection event log group 142, an intrusion prevention event log group 144, and a system event log group 140 integrated into one screen, and FIG. 5A shows an intrusion detection at the top of the screen. The event log group 142 shows a state in which the intrusion blocking event log group 144 is arranged at the bottom of the screen. The administrator first selects the first event log by clicking on the intrusion detection event log 142a to be audited in the intrusion detection event log group 142, selects the first event log and drags it to the intrusion prevention event group 144 to perform linkage analysis. Selecting the second event group 144 (see FIG. 5B), and as shown in FIG. 5B, the linkage analysis conditions [Date / Time (Time), Origin (IDS of IDS), Source (Source IP), and Destination (Destination Destination) IP)] window appears, specify the linkage analysis condition as 'time' to conduct security audits in the same 'time' band while repeatedly searching for the results of the intrusion prevention system at the same 'time'. FIG. 5C shows the search result. It can be seen that the intrusion detection system generated four intrusion prevention event logs for the first event log 142a and all the connections were dropped (156a).

상기 실시례는 본 발명의 실시예 중 하나일 뿐이며, 본 발명의 기술적 사상을 변경하지 않는 범위내에서 다양한 변경과 수정이 가능하다.The above embodiment is only one of the embodiments of the present invention, and various changes and modifications can be made without departing from the spirit of the present invention.

상기 구성으로 인해 본 발명은 다음과 같은 효과를 도모할 수 있다.Due to the above configuration, the present invention can achieve the following effects.

본 발명은 수작업이나 별도의 로그 분석기를 사용하지 않고서도 모든 이벤트 로그에 대하여 실시간으로 직관적으로 보안감사할 수 있게 하므로 종래의 수작업 등에 의한 보안감사에 비해 효율적인 보안감사를 가능하게 효과를 가진다.The present invention enables an effective security audit for all event logs in real time without the use of manual labor or a separate log analyzer.

Claims (5)

침입탐지 시스템, 침입차단 시스템과 일반 시스템으로부터 각각 침입탐지 이벤트 로그, 침입차단 이벤트 로그 그리고 시스템 이벤트 로그를 수집하는 이벤트 로그 수집기와, 상기 이벤트 로그 수집기에 의해 수집된 각종 이벤트 로그를 침입탐지 이벤트 로그 그룹, 침입차단 이벤트 로그 그룹과 시스템 이벤트 로그 그룹별루 구분 저장하는 데이타 베이스와, 상기 데이터 베이스와 연동되어 보안 감사를 실시하는 중앙처리수단과 그 결과를 표시해 주는 표시부를 가진 실시간 분석기로 구성되는 보안감사 시스템에서 전산망의 이상징후를 보안감사하는 방법에 있어서,An event log collector that collects intrusion detection event logs, intrusion prevention event logs, and system event logs from intrusion detection systems, intrusion prevention systems, and general systems, respectively, and various event logs collected by the event log collector. And a security audit system comprising a database for storing intrusion prevention event log groups and system event log groups separately, a central processing unit interoperating with the database, and a display unit for displaying the results. In the security audit of the abnormal signs of the computer network, 상기 실시간 분석기의 표시부에 상기 데이터 베이스에 저장된 침입탐지 이벤트 로그 그룹, 침입차단 이벤트 로그 그룹와 시스템 이벤트 로그 그룹을 동시에 표시하는 제1단계와,A first step of simultaneously displaying an intrusion detection event log group, an intrusion prevention event log group, and a system event log group stored in the database on a display unit of the real-time analyzer; 상기 실시간 분석기의 표시부에 표시된 침입탐지 이벤트 로그 그룹, 침입차단 이벤트 로그 그룹 또는 시스템 이벤트 로그 그룹으로 부터 보안 감사할 제1이벤트 로그를 선택하는 제2단계와,Selecting a first event log to be audited from an intrusion detection event log group, an intrusion prevention event log group, or a system event log group displayed on a display of the real-time analyzer; 상기 제1이벤트 로그 그룹을 제외한 이벤트 로그 그룹으로부터 연계 분설될 제2 이벤트 로그 그룹을 선정하는 제3단계와Selecting a second event log group to be linked and divided from the event log group except the first event log group; 상기 제1이벤트 로그와 제2이벤트 로그 그룹을 연계 분석할 연계 분석 조건을 선택하는 제4단계와,Selecting a linkage analysis condition for linkage analysis of the first event log and the second event log group; 상기 제4단계에서 선정된 연계 분석 조건에 기준하여 제1이벤트 로그와 제2이벤트 로그 그룹를 비교분석하고 연계 분석 조건을 만족하는 제2이벤트 로그들을 제2이벤트 로그 그룹으로부터 검색하는 제5단계와,A fifth step of comparing and analyzing the first event log and the second event log group based on the linkage analysis condition selected in the fourth step and searching for second event logs satisfying the linkage analysis condition from the second event log group; 상기 제5단계를 거쳐 발생된 제2이벤트 로그들을 상기 실시간 분석기의 표시부에 표시해 주는 제6단계로 구성되며, 상기 제1단계 내지 제6단계가 상기 보안감사 시스템의 실시간 분석기에 의해 실시간으로 진행되는 것을 특징으로 하는 실시간 이상징후 감사방법.And a sixth step of displaying the second event logs generated through the fifth step on the display unit of the real time analyzer, wherein the first to sixth steps are performed in real time by the real time analyzer of the security audit system. Real-time abnormal symptoms audit method, characterized in that. 제1항에 있어서, 상기 제4단계의 연계 분석 조건은 시간, 출발지 주소, 목적지 주소, 침입탐지 시스템의 주소와 침입차단 시스템의 주소로 이루어진 그룹으로부터 선택되는 것을 특징으로 하는 실시간 이상징후 감사방법.The real-time abnormal symptom audit method according to claim 1, wherein the association analysis condition of the fourth step is selected from the group consisting of time, starting address, destination address, intrusion detection system address and intrusion prevention system address. 제1항 내지 제2항에 있어서, 상기 제1 이벤트 로그는 침입 탐지 이벤트 로그그룹에서 선택되고 상기 제2 이벤트 로그 그룹은 침입 차단 이벤트 로그 그룹인 것을 특징으로 하는 실시간 이상징후 감사방법.3. The method of claim 1, wherein the first event log is selected from an intrusion detection event log group, and the second event log group is an intrusion prevention event log group. 제1항 내지 제2항에 있어서, 상기 제1 이벤트 로그는 침입 탐지 이벤트 로그 그룹에서 선택되고 상기 제2이벤트 로그 그룹은 시스템 이벤트 로그 그룹인 것을 특징으로 하는 실시간 이상징후 감사방법.3. The method of claim 1, wherein the first event log is selected from an intrusion detection event log group, and the second event log group is a system event log group. 제1항 내지 제2항에 있어서, 상기 제1 이벤트 로그는 침입 차단 이벤트 로그 그룹에서 선택되고 상기 2이벤트 로그 그룹은 시스템 이벤트 로그 그룹인 것을 특징으로 하는 실시간 이상징후 감사방법.The method of claim 1, wherein the first event log is selected from an intrusion prevention event log group, and the second event log group is a system event log group.
KR10-2001-0055965A 2001-09-11 2001-09-11 Method for real-time auditing a Network KR100458816B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0055965A KR100458816B1 (en) 2001-09-11 2001-09-11 Method for real-time auditing a Network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0055965A KR100458816B1 (en) 2001-09-11 2001-09-11 Method for real-time auditing a Network

Publications (2)

Publication Number Publication Date
KR20030023048A true KR20030023048A (en) 2003-03-19
KR100458816B1 KR100458816B1 (en) 2004-12-03

Family

ID=27723583

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0055965A KR100458816B1 (en) 2001-09-11 2001-09-11 Method for real-time auditing a Network

Country Status (1)

Country Link
KR (1) KR100458816B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100432420B1 (en) * 2001-12-20 2004-05-22 한국전자통신연구원 Efficient attack detection method using log in Intrusion Detection System
KR100748246B1 (en) * 2006-03-29 2007-08-10 한국전자통신연구원 Multi-step integrated security monitoring system and method using intrusion detection system log collection engine and traffic statistic generation engine
KR100798755B1 (en) * 2006-05-17 2008-01-29 주식회사 제이컴정보 Threats management system and method thereof
KR100921728B1 (en) * 2007-04-11 2009-10-15 (주)씽크에이티 Method and system for financial transaction service using log analysis
KR101399326B1 (en) * 2009-05-07 2014-06-03 에스케이플래닛 주식회사 Tracking trail apparatus for information security and method thereof

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5913041A (en) * 1996-12-09 1999-06-15 Hewlett-Packard Company System for determining data transfer rates in accordance with log information relates to history of data transfer activities that independently stored in content servers
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100432420B1 (en) * 2001-12-20 2004-05-22 한국전자통신연구원 Efficient attack detection method using log in Intrusion Detection System
KR100748246B1 (en) * 2006-03-29 2007-08-10 한국전자통신연구원 Multi-step integrated security monitoring system and method using intrusion detection system log collection engine and traffic statistic generation engine
KR100798755B1 (en) * 2006-05-17 2008-01-29 주식회사 제이컴정보 Threats management system and method thereof
KR100921728B1 (en) * 2007-04-11 2009-10-15 (주)씽크에이티 Method and system for financial transaction service using log analysis
KR101399326B1 (en) * 2009-05-07 2014-06-03 에스케이플래닛 주식회사 Tracking trail apparatus for information security and method thereof

Also Published As

Publication number Publication date
KR100458816B1 (en) 2004-12-03

Similar Documents

Publication Publication Date Title
US7260846B2 (en) Intrusion detection system
Koike et al. SnortView: visualization system of snort logs
US8423894B2 (en) Method and system for displaying network security incidents
EP1008046B1 (en) Method and apparatus for automated network-wide surveillance and security breach intervention
US7603711B2 (en) Intrusion detection system
US20060161816A1 (en) System and method for managing events
US20050021683A1 (en) Method and apparatus for correlating network activity through visualizing network data
Bryant et al. Improving SIEM alert metadata aggregation with a novel kill-chain based classification model
Debar et al. Intrusion detection: Introduction to intrusion detection and security information management
Oline et al. Exploring three-dimensional visualization for intrusion detection
KR100458816B1 (en) Method for real-time auditing a Network
Alampalayam et al. Predictive security model using data mining
Erbacher et al. Visual behavior characterization for intrusion and misuse detection
Pihelgas et al. Frankenstack: Real-time cyberattack detection and feedback system for technical cyber exercises
Kawakani et al. Discovering attackers past behavior to generate online hyper-alerts
Erbacher et al. Improving intrusion analysis effectiveness
Mei et al. PEC: Post Event Correlation Tools for Network-Based Intrusion Detection
Heimerdinger Scyllarus intrusion detection report correlator and analyzer
Metcalf et al. Intrusion Detection System Requirements
LaPadula Intrusion Detection for Air Force Networks
Metcalf et al. Intrusion Detection System Requirements: A Capabilities Description in Terms of the Network Monitoring and Assessment Module of CSAP21
Yu TRINETR: an intrusion detection alert management and analysis system
Ibrahim et al. Assessing the challenges of intrusion detection systems
Feingold et al. Verifying the secure setup of UNIX client/servers and detection of network intrusion
Locatelli et al. Spotting intrusion scenarios from firewall logs through a case-based reasoning approach

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121107

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20131112

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20141111

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20151110

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20161102

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20171107

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20181113

Year of fee payment: 15

J206 Request for trial to confirm the scope of a patent right
J121 Written withdrawal of request for trial
FPAY Annual fee payment

Payment date: 20190515

Year of fee payment: 16

FPAY Annual fee payment

Payment date: 20200122

Year of fee payment: 17