KR20080047826A - 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법 - Google Patents

문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법 Download PDF

Info

Publication number
KR20080047826A
KR20080047826A KR1020060117746A KR20060117746A KR20080047826A KR 20080047826 A KR20080047826 A KR 20080047826A KR 1020060117746 A KR1020060117746 A KR 1020060117746A KR 20060117746 A KR20060117746 A KR 20060117746A KR 20080047826 A KR20080047826 A KR 20080047826A
Authority
KR
South Korea
Prior art keywords
correlation analysis
rule
event
language
rdl
Prior art date
Application number
KR1020060117746A
Other languages
English (en)
Other versions
KR100846835B1 (ko
Inventor
신동휘
김종관
최효열
송문호
신준섭
채문창
배병오
Original Assignee
(주)타임네트웍스
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)타임네트웍스, 한국전력공사 filed Critical (주)타임네트웍스
Priority to KR1020060117746A priority Critical patent/KR100846835B1/ko
Publication of KR20080047826A publication Critical patent/KR20080047826A/ko
Application granted granted Critical
Publication of KR100846835B1 publication Critical patent/KR100846835B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/30Creation or generation of source code
    • G06F8/31Programming languages or programming paradigms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 문맥 언어 기반의 보안 이벤트 상관분석 시스템에 관한 것으로, 각종 정보 보호설비(방화벽, 가상사설망, 침입탐지시스템, 침입방지시스템 등)로부터 다양한 방식으로 전송되는 보안 이벤트를 다양한 형식의 전송프로토콜을 통하여 수집하고, 수집된 이벤트를 설비군 별 공통된 형식으로 정규화하여 데이터베이스에 저장하고, 정규화된 이벤트의 주요 정보를 이용하여 이벤트의 발생 시간, 설비 및 네트워크의 위치에 기반을 두어 시/공간적 이벤트 상관분석을 기반으로 네트워크 공격 및 침해에 대한 신속한 탐지 및 그 결과를 휴대전화 단문메시지, 지유아이 팝업(GUI Popup) 및 이메일(E-mail)로 보안 운용자에게 알릴 수 있는 것을 특징으로 하는 것이다.
문맥 언어, 네트워크공격, 상관분석, 이기종 정보보호설비, 이벤트 로그 수집부, 정규화 이벤트 DB, 상관분석 언어 해석부, 상관분석 처리부

Description

문맥 언어 기반의 보안이벤트 상관분석 시스템{System for Security Event Correlation Analysis based on Context Language}
도 1은 본 발명의 일 실시예에 의한 문맥 언어 기반의 보안이벤트 상관분석 시스템의 개념도이다.
도 2는 도 1의 동작을 나타내는 스크립트 처리를 나타낸 흐름도이다.
도 3은 본 발명의 일실시예에 의한 RDL(Rule Description Language)의 구성도이다.
도 4는 본 발명의 일실시예에 의한 ADL(Action Description Language)의 구성도이다.
<도면의 주요 부분에 대한 부호의 설명>
1 : 이기종 정보보호설비 2 : 이벤트 로그 수집부
3 : 정규화 이벤트 DB 4 : 상관 분석 언어 해석부
5 : 상관 분석 처리부 6 : 결과 보고부
정보산업화가 급속히 성장한 근래에 있어서, 정보의 전산화 및 업무의 네트 워크화로 인하여 정보의 중요성과 함께 정보에 대한 외부로부터의 공격 및 침해사고가 빈번히 발생함에 있어서 정보보호침해 사고를 방지하기 위한 각종 보안 설비들이 소개되어 운영되고 있었다.
다양한 제품들이 다양한 제조사들로부터 소개되고 있으며, 네트워크 정보보호설비들은 동일 또는 유사 이벤트에 대한 표현형식에 있어서 제각각의 형식으로 운영자에게 정보를 제공함으로써 단일 네트워크의 다수 정보보호설비를 동시에 운영하고 있는 관리자에게 정보보호설비 및 정보보호 이벤트에 대한 대응에 있어서 많은 어려움이 있었다.
또한, 정보보호설비로부터 발생하는 보안이벤트는 그 발생빈도가 상당히 높고, 운영자가 개별 이벤트에 대한 추적 및 관리가 어려운 상태이며, 더욱이, 정보보호설비의 보안이벤트가 오탐(False Positive 및 False Negative)의 경우가 많아 이벤트의 신뢰성이 떨어지는 상황이 종종 발생하는 문제점이 생겼다.
이러한 환경에서 정보보호설비의 보안 이벤트에 대한 분석의 의무가 국내외 주요기관의 지침 및 사내 지침에 의해 강조되고 있다.
이로 인하여, 국내 로그분석 시스템이 소개되어 다양한 형식의 이벤트 형식을 정규화 하여 하나의 형식으로 통일하여 출력하고, 빈번히 발생되는 이벤트 등에 대한 통계 정보를 제공함에 있어서 보안 관리자에게 관리의 편의를 제공하고 업무의 간소화에 기여한바가 있었다.
하지만, 다소 규모가 있는 시스템의 경우 업무의 성격에 따라 네트워크를 세분화 하여 운영하고 있으며, 정보보호설비 또한 각 네트워크에 설치 운영되고 있 다. 즉, 네트워크가 세분화됨에 따라 단일 설비에서 발생한 이벤트가 제공하는 정보만으로는 침해사고 및 공격 추적에 상당히 미흡한 문제점이 있었다.
또한, 하나의 네트워크에서 다수의 정보보호설비의 이벤트의 상관관계를 추적하고, 또, 다수의 네트워크 간에 발생한 이벤트를 상관분석 함으로써 보다 확장된 개념의 공격 침해 상황을 판단하여 침해에 조기에 대응할 수 있는 환경을 제공하기 위해 정보보호설비 이벤트 상관분석 (Event Correlation)기법을 필요로 하게 되었다.
그러나, 기존의 국내 로그분석 시스템의 구현방법은 이벤트 간 상관분석을 위하여 '분석규칙'이 필요할 때마다 분석엔진 자체가 빈번히 수정되어야 하는 구조를 가지고 있다. 즉, 기존의 분석프로그램은 새로운 규칙의 적용에 있어서 매우 제한적일 수 밖에 없으며, 지원하지 않는 규칙의 적용을 위한 프로그램 수정에 있어서 많은 시간과 비용 및 유지보수 인력이 요구되는 문제가 있다.
또한, 상기의 고정된 규칙을 가지는 분석엔진의 문제점을 해결함에 있어서, 분석 대상인 정보보호설비의 이벤트를 정규화하여 DB에 저장하고, 정보보호 이벤트 상관분석에 특화된 '문맥 기반 상관분석 언어' 및 '상관분석 엔진'을 개발함으로써 새로운 상관분석의 규칙적용이 상당히 유연한 상관분석 기반기술을 제공할 필요가 생겼으며, 이러한 프레임웍 구현을 위하여 상관분석 방법을 조합하여 기본 로그분석 기능뿐만 아니라, 프레임웍을 위한 RDL 기반으로 분석규칙 및 대응규칙에 대한 유연성과 확장성을 요구하게 되었다.
하기의 [표 1]은 본 발명과 국내외 유사·경쟁 기술과의 특징을 비교분석한 것이다.
[ 표 1 ]
Figure 112006087312696-PAT00001
이에 본 발명은 상기와 같은 종래 문제점을 해결하기 위해 발명된 것으로, 다양한 형식의 동종 또는 이기종 정보보호설비의 이벤트로부터 '이벤트 발생 시간' 및 정보보호설비가 위치한 네트워크의 위치 정보를 반영한 시공간(Spatiotemporal)적 상관분석기법을 유연하고 확장성 있게 기술할 수 있도록 문맥 언어 기반의 보안이벤트 상관분석 시스템을 제공함에 그 목적이 있다.
상기한 목적을 달성하기 위한 본 발명은, 이벤트 로그가 발생하는 이기종 정보보호설비(1); 상기 이기종 정보보호설비(1)에서 발생한 이벤트 로그를 다양한 형 식의 로그 전송 프로토콜을 통하여 수집하는 이벤트 로그 수집부(2); 상기 이벤트 로그 수집부(2)에서 수집한 이벤트로그를 정규화한 후에 표준화된 이벤트로 변환하여 DB에 저장하는 정규화 이벤트 DB(3); 사용자가 입력한 상관 분석 규칙을 RDL과 ADL로 나뉘어 해석하고 해석된 규칙을 상관 분석 처리부(5)에 전달하는 상관분석 언어 해석부(4); 상기 상관분석 언어 해석부(4)로부터 해석된 규칙을 전달받아 상기 정규화 이벤트 DB(3)에 저장된 이벤트의 주요 값들을 참조하여 분석 및 통계를 수행하는 상관분석 처리부(5); 및 상기 상관분석 처리부(5)에서 분석된 결과를 사용자에게 알리는 결과 보고부(6)로 이루어진 것을 특징으로 한다.
또한, 본 발명의 동작은 사용자에 의해 상관분석 규칙 스크립트가 입력되는 제 1 단계; 상기 제 1 단계 후 이벤트 상관 분석 처리를 위한 RDL과 분석결과를 처리하기 위한 규칙인 Action 규칙처리를 위한 ADL로 구성된 상관분석 규칙 스크립트를 읽어서 문장 분석하는 제 2 단계; 상기 제 2 단계 후 Syntax Grammer와 Syntax Diagram을 참조하여 해당 상관분석 규칙 스크립트를 해석하는 제 3 단계; 상기 제 3 단계 후 사용자가 입력한 상관분석 규칙 스크립트에 오류가 있는지 없는지 판별하는 제 4 단계; 상기 제 4 단계 후 사용자가 입력한 상관분석 규칙 스크립트에 오류가 있다면 이를 보고하는 제 5 단계; 상기 제 4 단계 후 사용자가 입력한 상관분석 규칙 스크립트에 오류가 없다면 RDL과 ADL로 구분하는 제 6 단계; 상기 제 6 단계 후 RDL로 구분된 상관분석 규칙 스크립트를 이벤트 상관분석 처리하는 제 7 단계(ST7); 상기 제 7 단계 후 상관분석 처리한 결과가 다음 규칙의 새로운 조건인지 판별하여 새로운 조건이 아닐 경우 그 결과와 상기 제 6 단계 후 ADL로 구분된 상 관분석 규칙 스크립트를 Action 규칙 처리한 후 그 결과를 사용자에게 알려주고 다시 문장분석을 위해 상기 제 2 단계로 재전송하는 제 8 단계; 상기 제 7 단계 후 상관분석 처리한 결과가 상기 제 8 단계에서 다음 규칙의 새로운 조건으로 판별될 경우, 새로운 Context를 생성하여 다음 규칙에서 이를 조건으로 새로운 규칙을 적용할 수 있도록 하는, 즉, 하나의 RDL을 처리한 결과가 다음 규칙의 RDL에서 새로운 조건(Context)으로 처리될 수 있도록 하는 제 9 단계; 및 상기 8 단계 후 사용자에게 휴대전화 단문메시지, GUI Popup 및 E-mail을 통하여 보고하는 제 10 단계를 포함하여 수행하는 것을 특징으로 한다.
이하 본 발명의 실시예를 첨부된 도면에 의하여 상세히 설명하면 다음과 같다.
도 1은 본 발명의 일 실시예에 의한 문맥 언어 기반의 보안이벤트 상관분석 시스템의 개념도이다.
도시된 바와 같이, 이기종 정보보호설비(1)에서 발생한 이벤트 로그를 이벤트 로그 수집부(2)는 다양한 형식의 로그 전송 프로토콜을 통하여 수집하고, 이를 IDMEF 국제 표준에 기반하여 정규화(Normalization)한 후에 표준화된 이벤트로 변환하여 DB(3)에 저장한다. 이때 DB의 데이터 저장 형식은 하드디스크에 저장될 수도 있으며, 때에 따라 고속처리를 위한 메모리 DB 형식을 존재 할 수 있다.
또한, 상관분석 언어 해석부(4)는 사용자가 입력한 상관분석규칙을 RDL과 ADL로 나뉘어 해석하고 해석된 규칙은 상관분석 처리부(5)에 전달한다. 규칙을 전달 받은 상관분석 처리부는 정규화이벤트 DB에서 저장된 이벤트의 주요 값들을 참 조하여 분석 및 통계처리를 수행하며, 결과 보고부(6)에서 분석된 결과를 사용자 환경에서의 휴대전화 단문메시지, GUI Popup 및 E-mail을 통하여 사용자에게 전달하도록 구성된다.
특히, 상관분석 규칙을 통하여 정규화 이벤트를 불러들여 분석을 수행하고, 분석을 통하여 사용자에게 알리는 모든 과정이 상관분석 규칙언어를 통하여 가능한 것을 가장 큰 특징으로 한다.
도 2는 도 1의 동작을 나타내는 스크립트 처리를 나타낸 흐름도이다.
이에 도시된 바와 같이, 사용자에 의해 상관분석 규칙 스크립트가 입력되는 제 1 단계(ST1); 상기 제 1 단계(ST1) 후 이벤트 상관 분석 처리를 위한 RDL과 분석결과를 처리하기 위한 규칙인 Action 규칙처리를 위한 ADL로 구성된 상관분석 규칙 스크립트를 읽어서 문장 분석하는 제 2 단계(ST2); 상기 제 2 단계(ST2) 후 Syntax Grammer와 Syntax Diagram을 참조하여 해당 상관분석 규칙 스크립트를 해석하는 제 3 단계(ST3); 상기 제 3 단계(ST3) 후 사용자가 입력한 상관분석 규칙 스크립트에 오류가 있는지 없는지 판별하는 제 4 단계(ST4); 상기 제 4 단계(ST4) 후 사용자가 입력한 상관분석 규칙 스크립트에 오류가 있다면 이를 보고하는 제 5 단계(ST5); 상기 제 4 단계(ST4) 후 사용자가 입력한 상관분석 규칙 스크립트에 오류가 없다면 RDL과 ADL로 구분하는 제 6 단계(ST6); 상기 제 6 단계(ST6) 후 RDL로 구분된 상관분석 규칙 스크립트를 이벤트 상관분석 처리하는 제 7 단계(ST7); 상기 제 7 단계(ST7) 후 상관분석 처리한 결과가 다음 규칙의 새로운 조건인지 판별하여 새로운 조건이 아닐 경우 그 결과와 상기 제 6 단계(ST6) 후 ADL로 구분된 상관분 석 규칙 스크립트를 Action 규칙 처리한 후 그 결과를 사용자에게 알려주고 다시 문장분석을 위해 상기 제 2 단계(ST2)로 재전송하는 제 8 단계(ST8); 상기 제 7 단계(ST7) 후 상관분석 처리한 결과가 상기 제 8 단계에서 다음 규칙의 새로운 조건으로 판별될 경우, 새로운 문맥을 생성하여 다음 규칙에서 이를 조건으로 새로운 규칙을 적용할 수 있도록 하는, 즉, 하나의 RDL을 처리한 결과가 다음 규칙의 RDL에서 새로운 조건(Context)으로 처리될 수 있도록 하는 제 9 단계(ST9); 및 상기 8 단계(ST8) 후 사용자에게 휴대전화 단문메시지, GUI Popup 및 E-mail을 통하여 보고하는 제 10 단계(ST10)를 포함하여 수행한다.
도 3은 본 발명의 일실시예에 의한 RDL의 구성도이며, 도 4는 본 발명의 일실시예에 의한 ADL의 구성도이다.
도 3은 RDL의 Syntax Diagram으로 이벤트 또는 이벤트간의 이벤트 상관분석을 위한 규칙을 정의한 상관분석 규칙의 언어 형식에 대한 자세한 내용을 담고 있다. 상관분석 언어를 통하여, 규칙을 생성하거나, 생성된 규칙을 갱신할 수 있으며, 생성된 규칙에 대한 규칙의 명칭 및 생성된 상관분석규칙이 속하는 대분류의 클래스(Class)를 지정하고, 정규화된 이벤트를 정규화이벤트 DB로부터 참조하여 시간, 디바이스 ID, 네트워크 ID, 이벤트, 방화벽 규칙 ID, 침입탐지/침입차단 시스템의 Signature ID 등의 정보보호설비가 제공한 정보를 AND, OR의 연산자를 통한 조합으로 문맥/조건(Context)을 생성하고, 또, 기 정의된 상관분석규칙에 의해 생성된 문맥/조건(Context)을 참조하여 다수개의 문맥/조건을 그룹으로 하여 새로운 문맥/조건을 생성할 수 있음을 나타낸다. 이때, 문맥/조건(Context)을 만족하는 이 벤트의 주요 출발지 IP 및 목적지 IP는 도 4의 ADL의 경고 메시지(Alert-Message)에서 사용될 수 있으며, 이는 문제의 IP를 사용자에게 알려 줄 수 있는 기능을 가능하게 한다.
상관분석 규칙에 의해 생성된 문맥/조건을 만족하는 이벤트의 조합이 발생할 경우, 특정시간 동안에 사용자가 지정한 시간에서 그 발생횟수가 사용자가 지정한 횟수를 넘어설 경우 상관분석결과를 출력하고, 또, 특정시간 동안 상관분석결과가 사용자가 지정한 시간 내에 중복 발생할 경우 중복경고를 억제할 수 있다.
도4는 ADL의 Syntax Diagram으로 RDL에 기반한 이벤트상관분석의 결과를 처리하는 언어 형식에 대한 자세한 내용을 담고 있다. RDL에 의해 출력된 상관분석의 결과에 따라 첫 번째로, 새로운 문맥/조건(Context)를 생성할 수 있으며, 이때 생성된 문맥명칭(Context Name)은 RDL에 의해 재사용이 가능하다. 두 번째로, RDL에 의해 출력된 상관분석의 결과를 사용자에 알림에 있어서, 그 결과의 중요도를 지정할 수 있다. 또한, 사용자에 RDL의 결과를 알림에 있어서, 관리자를 지정할 수 있으며, 결과를 알려 주는 수단으로 휴대전화 단문메시지, GUI Popup 및 E-mail을 통한 전달 방법을 언어로 정의할 수 있다.
따라서, 상기의 상관분석 언어를 활용하여, 정보 보호설비로부터 하기에 [표 2]나타낸 정규화 이벤트 파라미터를 바탕으로 이벤트 간, 정보 보호설비 간, 네트워크 간 이벤트의 상관분석이 가능하다.
[ 표 2 ]
Figure 112006087312696-PAT00002
상기의 정보 보호설비의 정규화된 이벤트 정보로부터 간단하게는 하기와 같은 단일 이벤트를 기반으로 상관분석규칙을 지정하고 그 결과를 확인 할 수 있다.
상관분석의 첫 번째 예로, 하기의 [표 3]은 방화벽의 단일 이벤트로부터 이벤트 상관분석을 통하여, 그 결과를 사용자에게 알려주는 상관분석 규칙언어이다.
[ 표 3 ]
출발지IP=any, 출발지포트=1356, 목적지IP=any, 목적지포트=2101, action=any
출발지 포트가 1356이고, 목적지 포트가 2101을 사용하는 공격을 'Buffer Overflow 공격시도'라고 할 때, 해당 분석의 결과에 대한 중요도와 위의 방화벽 정보로부터 공격을 시도한 출발지 IP 및 목적지 IP를 사용자에게 휴대전화 단문메시지, GUI Popup 및 E-mail을 통하여 동시에 알려주기 위한 상관분석 규칙언어의 표현은 하기의 [표 4]와 같다.
[ 표 4 ]
Figure 112006087312696-PAT00003
또한, 상관분석의 두 번째 예로, 위의 첫 번째 예에서 이벤트분석을 통한 문맥/조건(Context)가 발생한 경우에 한하여, 아래의 보안 이벤트가 발생할 경우, 그 결과를 사용자에게 알려주는 것으로, 상관분석 언어가 문맥/조건(Context)을 활용할 수 있음으로 하여, 그 규칙적용의 유연성을 확인 할 수 있다.
[ 표 5 ]
출발지IP=any, 출발지포트=1356, 목적지IP=any, 목적지포트=2101, action=any 출발지IP=any, 출발지포트=20, 목적지IP=any, 목적지포트=34568
상기의 [표 5]와 같이 첫 번째 예의 이벤트가 발생하고, 이를 발생시킨 출발지 IP 및 목적지 IP를 가지고, 출발지 포트 20, 목적지 포트 34568을 가진 이벤트가 발생하였을 경우에 한하여 경고메시지로 사용자에게 알려주기 위한 상관분석 언어의 표현은 하기의 [표 6]과 같다.
[ 표 6 ]
Figure 112006087312696-PAT00004
즉, 이 상관분석규칙 언어의 가장 큰 특징 중 하나인, 문맥/조건(Context) 기반의 유연한 규칙표현이 가능함을 확인 할 수 있다.
또한, 상위의 상관분석언어를 통한 상관분석 기능을 활용함에 있어서, 사용자가 보안이벤트를 추적함에 있어서 상관분석규칙 언어가 제공하는 다양한 조건을 바탕으로 관련된 보안 이벤트를 검색 및 추적 할 수 있는 기능을 제공할 수 있다.
이상에서와 같이 본 발명은 신규 규칙을 적용하기 위해 프로그램수정을 필요로 하던 기존 제품의 분석시스템이 가지고 있는 한계를 극복하고, 정보보호설비로부터 제공되는 대부분의 정보를 활용하여 사용자가 자신의 네트워크에 적절한 규칙을 상관분석 언어를 활용하여 프로그램의 수정이 없이 유연하게 적용할 수 있는 기반 기술을 제공하여, 기존 기술이 동종 정보보호설비에 대하여 이벤트 발생 시간에 대해서만 분석이 가능한 기존 기술의 단점과 한계를 극복할 수 있다.
즉, 다양한 정보보호설비의 서로 다른 타입의 이벤트를 통합하여 상관분석함으로써 공격의 징후에 대한 조기경보를 용이하게 하며, 사후 증거수집 분석(Forensic) 비용을 최소화할 수 있는 효과가 있다.
또한, 최소 인력으로 다수의 다양한 정보보호 설비의 효율적 운영이 가능하며, 효율적인 보안 대응 시스템 구현이 용이하고, 침해사고 발생시, 신속한 분석을 통한 피해복구 비용을 최소화 할 수 있다.
즉, 보안 침해사고 발생시, 복구를 위해서는 엄청난 사회/경제적 비용과 시간이 소요됨에 있어서, 기업, 공공기관 등에서 사용하고 있는 다양한 정보보호설비 의 효율적 운영을 위한 인적, 시간적 노력 및 침해사고 복구비용 최소화하고 이를 통한 간접적인 경제효과를 기대할 수 있다.

Claims (9)

  1. 이벤트 로그가 발생하는 이기종 정보 보호설비(1); 상기 이기종 정보 보호설비(1)에서 발생한 이벤트 로그를 다양한 형식의 로그 전송프로토콜을 통하여 수집하는 이벤트 로그 수집부(2); 상기 이벤트 로그 수집부(2)에서 수집한 이벤트 로그를 정규화한 후에 표준화된 이벤트로 변환하여 DB에 저장하는 정규화 이벤트 DB(3); 사용자가 입력한 상관 분석 규칙을 RDL과 ADL로 나뉘어 해석하고 해석된 규칙을 상관 분석 처리부에 전달하는 상관분석 언어 해석부(4); 상기 상관분석 언어 해석부(4)로부터 해석된 규칙을 전달받아 상기 정규화 이벤트 DB에서 저장된 이벤트의 주요 값들을 참조하여 분석 및 통계를 수행하는 상관분석 처리부(5); 및 상기 상관분석 처리부(5)에서 분석된 결과를 사용자에게 알리는 결과보고부(6)로 이루어진 것을 특징으로 하는 문맥 언어 기반의 보안이벤트 상관분석 시스템.
  2. 제 1 항에 있어서,
    상기 상관분석 처리부(5)는 상관분석 규칙 스크립트를 통하여 정규화 이벤트를 불러들여 분석을 수행하고, 분석을 통하여 사용자에게 통지하기 위한 모든 과정이 상관분석 규칙 스크립트를 통하여 이루어지는 것을 특징으로 하는 문맥 언어 기반의 보안이벤트 상관분석 시스템.
  3. 사용자에 의해 상관분석 규칙 스크립트가 입력되는 제 1 단계(ST1); 상기 제 1 단계(ST1) 후 이벤트 상관 분석 처리를 위한 RDL과 분석결과를 처리하기 위한 규칙인 Action 규칙처리를 위한 ADL로 구성된 상관분석 규칙 스크립트를 읽어서 문장 분석하는 제 2 단계(ST2); 상기 제 2 단계(ST2) 후 Syntax Grammer와 Syntax Diagram을 참조하여 해당 상관분석 규칙 스크립트를 해석하는 제 3 단계(ST3); 상기 제 3 단계(ST3) 후 사용자가 입력한 상관분석 규칙 스크립트에 오류가 있는지 없는지 판별하는 제 4 단계(ST4); 상기 제 4 단계(ST4) 후 사용자가 입력한 상관분석 규칙 스크립트에 오류가 있다면 이를 보고하는 제 5 단계(ST5); 상기 제 4 단계(ST4) 후 사용자가 입력한 상관분석 규칙 스크립트에 오류가 없다면 RDL과 ADL로 구분하는 제 6 단계(ST6); 상기 제 6 단계(ST6) 후 RDL로 구분된 상관분석 규칙 스크립트를 이벤트 상관분석 처리하는 제 7 단계(ST7); 상기 제 7 단계(ST7) 후 상관분석 처리한 결과가 다음 규칙의 새로운 조건인지 판별하여 새로운 조건이 아닐 경우 그 결과와 상기 제 6 단계(ST6) 후 ADL로 구분된 상관분석 규칙 스크립트를 Action 규칙 처리한 후 그 결과를 사용자에게 알려주고 다시 문장분석을 위해 상기 제 2 단계(ST2)로 재전송하는 제 8 단계(ST8); 상기 제 7 단계(ST7) 후 상관분석 처리한 결과가 상기 제 8 단계에서 다음 규칙의 새로운 조건으로 판별될 경우, 새로운 문맥을 생성하여 다음 규칙에서 이를 조건으로 새로운 규칙을 적용할 수 있도록 하는, 즉, 하나의 RDL을 처리한 결과가 다음 규칙의 RDL에서 새로운 조건(Context)으로 처리될 수 있도록 하는 제 9 단계(ST9); 및 상기 8 단계(ST8) 후 사용자에게 휴대전화 단문메시지, GUI Popup 및 E-mail을 통하여 보고하는 제 10 단계(ST10)를 포함하여 수행하는 것을 특징으로 하는 문맥 언어 기반의 보안이벤트 상관분석 시스템.
  4. 제 3 항에 있어서,
    상기 RDL의 Syntax Diagram은, 상관분석언어를 통하여, 규칙을 생성하거나, 생성된 규칙을 갱신할 수 있으며, 생성된 규칙에 대한 규칙의 명칭 및 생성된 상관분석규칙이 속하는 대분류의 Class를 지정하고, 정규화된 이벤트를 정규화이벤트 DB로부터 참조하여 시간, 디바이스 ID, 네트워크 ID, 이벤트, 방화벽 규칙 ID, 침입탐지/침입차단 시스템의 Signature ID 등의 정보보호설비가 제공한 정보를 AND, OR의 연산자를 통한 조합으로 Context(문맥/조건)을 생성하는 것을 특징으로 하는 문맥 언어 기반의 보안이벤트 상관분석 시스템.
  5. 제 3 항에 있어서,
    상기 RDL의 Syntax Diagram은, 정의된 상관분석 규칙에 의해 생성된 문맥/조건(Context)을 참조하여 다수개의 문맥/조건을 그룹으로 하여 새로운 문맥/조건을 생성할 수 있는 것을 특징으로 하는 문맥 언어 기반의 보안이벤트 상관분석 시스템.
  6. 제 3 항에 있어서,
    상기 ADL의 Syntax Diagram은, RDL에 의해 출력된 상관분석의 결과에 따라 새로운 문맥/조건(Context)를 생성할 수 있으며, 이때 생성된 문맥명칭(Context Name)은 RDL에 의해 재사용이 가능한 것을 특징으로 하는 문맥 언어 기반의 보안 이벤트 상관분석 시스템.
  7. 제 3 항에 있어서,
    상기 ADL의 Syntax Diagram은, RDL에 의해 출력된 상관분석의 결과에 따라 RDL에 의해 출력된 상관분석의 결과를 사용자에게 알림에 있어서, 그 결과의 중요도를 지정할 수 있는 것을 특징으로 하는 문맥 언어 기반의 보안 이벤트 상관분석 시스템.
  8. 제 7 항에 있어서,
    상기 RDL의 결과를 사용자에게 알림에 있어서, 관리자를 지정할 수 있으며, 결과를 알려 주는 수단으로 휴대전화 단문메시지, GUI Popup 및 E-mail을 통한 전달 방법을 언어로 정의할 수 있는 것을 특징으로 하는 문맥 언어 기반의 보안 이벤트 상관분석 시스템.
  9. 제 3 항에 있어서,
    상기 상관분석 규칙 언어를 통한 문맥/조건(Context)의 생성 기능과 생성된 문맥/조건(Context)를 이용한 상세한 조건 검색 및 이벤트 추적 기능을 제공할 수 있는 것을 특징으로 하는 문맥 언어 기반의 보안이벤트 상관분석 시스템.
KR1020060117746A 2006-11-27 2006-11-27 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법 KR100846835B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060117746A KR100846835B1 (ko) 2006-11-27 2006-11-27 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060117746A KR100846835B1 (ko) 2006-11-27 2006-11-27 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20080047826A true KR20080047826A (ko) 2008-05-30
KR100846835B1 KR100846835B1 (ko) 2008-07-16

Family

ID=39664146

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060117746A KR100846835B1 (ko) 2006-11-27 2006-11-27 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법

Country Status (1)

Country Link
KR (1) KR100846835B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100912794B1 (ko) * 2008-11-18 2009-08-18 주식회사 나우콤 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법
KR100933986B1 (ko) * 2007-10-22 2009-12-28 한국전자통신연구원 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 및방법
US9158894B2 (en) 2011-12-16 2015-10-13 Electronics And Telecommunications Research Institute Apparatus and method for analyzing rule-based security event association
KR20160071167A (ko) * 2014-12-11 2016-06-21 현대자동차주식회사 복수의 수집정책 처리 장치 및 그 방법
CN105701876A (zh) * 2014-12-11 2016-06-22 现代自动车株式会社 用于处理多个记录策略的装置和方法
CN116232751A (zh) * 2023-03-16 2023-06-06 中国华能集团有限公司北京招标分公司 一种安全告警分析方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101217457B1 (ko) * 2012-06-01 2013-01-02 주식회사 윈스테크넷 네트워크 보안 최적화를 위한 통합 보안 장치

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040048468A (ko) * 2002-12-03 2004-06-10 노봉남 감사로그 상관관계 알고리즘을 통한 침입 탐지율 향상 방법
KR100506851B1 (ko) 2003-03-04 2005-08-08 엘지엔시스(주) 호스트 기반 고속 침입 탐지시스템 및 탐지방법
KR100559474B1 (ko) 2004-09-21 2006-03-10 한국전자통신연구원 다양한 종류의 문자열 형태의 침입탐지경보에서 동일한형태의 정보를 얻는 방법

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100933986B1 (ko) * 2007-10-22 2009-12-28 한국전자통신연구원 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 및방법
KR100912794B1 (ko) * 2008-11-18 2009-08-18 주식회사 나우콤 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법
US9158894B2 (en) 2011-12-16 2015-10-13 Electronics And Telecommunications Research Institute Apparatus and method for analyzing rule-based security event association
KR20160071167A (ko) * 2014-12-11 2016-06-21 현대자동차주식회사 복수의 수집정책 처리 장치 및 그 방법
CN105701876A (zh) * 2014-12-11 2016-06-22 现代自动车株式会社 用于处理多个记录策略的装置和方法
US9773360B2 (en) 2014-12-11 2017-09-26 Hyundai Motor Company Apparatus for processing a plurality of logging policies and method thereof
US9870655B2 (en) 2014-12-11 2018-01-16 Hyundai Motor Company Apparatus and method for processing a plurality of logging policies
CN105701876B (zh) * 2014-12-11 2020-05-08 现代自动车株式会社 用于处理多个记录策略的装置和方法
CN116232751A (zh) * 2023-03-16 2023-06-06 中国华能集团有限公司北京招标分公司 一种安全告警分析方法

Also Published As

Publication number Publication date
KR100846835B1 (ko) 2008-07-16

Similar Documents

Publication Publication Date Title
KR100846835B1 (ko) 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법
CN103430504B (zh) 用于保护指定数据组合的系统和方法
CN107483438A (zh) 一种基于大数据的网络安全态势感知预警系统和方法
CN110324348A (zh) 一种计算机网络信息安全监测系统
CN108551449B (zh) 防病毒管理系统及方法
US9961047B2 (en) Network security management
CN111614696A (zh) 一种基于知识图谱的网络安全应急响应方法及其系统
CN112039862A (zh) 一种面向多维立体网络的安全事件预警方法
CN114143064B (zh) 一种多源网络安全告警事件溯源与自动处置方法及装置
CN104091098A (zh) 文档操作安全审计系统
EP3343421A1 (en) System to detect machine-initiated events in time series data
US20170142155A1 (en) Advanced Local-Network Threat Response
CN114050937B (zh) 邮箱服务不可用的处理方法、装置、电子设备及存储介质
CN115941317A (zh) 一种网络安全综合分析及态势感知平台
CN106446720B (zh) Ids规则的优化系统及优化方法
CN105739408A (zh) 一种电力调度系统用业务监控方法及系统
KR102090757B1 (ko) 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법
KR101022167B1 (ko) 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치
KR101973728B1 (ko) 통합 보안 이상징후 모니터링 시스템
KR102384672B1 (ko) 보안 장비, 보안 위협 분석 장치 및 방법
TWI670953B (zh) 異常監控系統及異常監控方法
JP2019175070A (ja) アラート通知装置およびアラート通知方法
CN112887288B (zh) 基于互联网的电商平台入侵检测的前端计算机扫描系统
CN116668062B (zh) 一种基于数据分析的网络安全运维管理平台
KR20100103126A (ko) 클러스터링 기법을 이용한 통합보안관리시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130711

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140711

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150707

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160711

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170711

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20180710

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20190709

Year of fee payment: 12