KR20100118422A - System and method for tracing signature security information - Google Patents

System and method for tracing signature security information Download PDF

Info

Publication number
KR20100118422A
KR20100118422A KR1020090037261A KR20090037261A KR20100118422A KR 20100118422 A KR20100118422 A KR 20100118422A KR 1020090037261 A KR1020090037261 A KR 1020090037261A KR 20090037261 A KR20090037261 A KR 20090037261A KR 20100118422 A KR20100118422 A KR 20100118422A
Authority
KR
South Korea
Prior art keywords
rule
information
security
monitoring
log
Prior art date
Application number
KR1020090037261A
Other languages
Korean (ko)
Other versions
KR101548138B1 (en
Inventor
전현철
이기혁
Original Assignee
에스케이 텔레콤주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이 텔레콤주식회사 filed Critical 에스케이 텔레콤주식회사
Priority to KR1020090037261A priority Critical patent/KR101548138B1/en
Publication of KR20100118422A publication Critical patent/KR20100118422A/en
Application granted granted Critical
Publication of KR101548138B1 publication Critical patent/KR101548138B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3089Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity

Abstract

PURPOSE: A system and a method for tracing signature security information are provided to monitor the leakage of user information by generating and using a rule for monitoring log information collected from a service server. CONSTITUTION: A log information collector(220) collects log information from a service server, and a rule relation analyzer(230) merges the log information by each case to generate a rule for each case. The rule analysis unit classifies the rule to generate a reference rule, and monitors the log information based on the reference rule. A scenario relation analyzer(240) generates scenario according to the relationship between rules based on the rule for each case, and monitors the log information in real time based on the scenario.

Description

정보보안 증적 추적 시스템 및 방법{System and Method for Tracing Signature Security Information}System and Method for Tracing Signature Security Information

본 발명은 정보보안 증적 추적 시스템 및 방법에 관한 것으로서, 보다 상세하게는 내부 정보 유출을 방지하기 위하여 복수의 서버로부터 로그 정보를 수집하고, 이를 이용하여 분석 기준을 설정한 후, 설정된 분석 기준에 따라 로그 정보를 모니터링 하여 증적 자료를 확보하고, 이에 더하여 정보 유출이 의심되는 사용자를 보다 집중적으로 모니터링 할 수 있도록 하기 위한 정보보안 증적 추적 시스템 및 방법에 관한 것이다.The present invention relates to a system and method for tracking information security evidence, and more particularly, to collect log information from a plurality of servers in order to prevent leakage of internal information, and to set an analysis criterion using the same, and according to the set analysis criteria. Information security evidence tracking system and method for monitoring the log information to obtain evidence data and to monitor the suspected information leakage more intensively.

내부 정보 유출 방지라는 의미는 근래에 들어 활성화된 개념으로 동일한 명칭 하에 다양한 제품 군들이 존재한다.Internal information leakage prevention is an active concept in recent years, and various product groups exist under the same name.

예를 들어, 문서보안 제품군도 내부 정보 유출 방지라는 명칭을 사용하고, PC 보안, 메일 모니터링 심지어 USB까지도 내부 정보 유출 방지라 표현한다.For example, the document security suite uses the name internal information leakage prevention, and PC security, mail monitoring and even USB are referred to as internal information leakage prevention.

그러나, 기업에서 지칭하는 내부 정보는 상당히 광범위한 개념으로 광의적으로 해석한다면, 기업 내에서 구성원에 의해 생성된 모든 정보로 볼 수 있으며, 보다 소극적으로 해석한다면, 기업 내에서 구성원에 의해 생성된 정보 중 대외비급 이상의 성격을 포함하는 문서라고 볼 수 있다.However, the internal information referred to by a company can be viewed as all the information generated by the members in the enterprise if interpreted broadly in a broadly broad sense, and, if interpreted more passively, of the information generated by the members in the enterprise. It can be seen as a document that includes more than the non-credit.

현재, 상술한 정보들을 보다 체계적으로 감시하고, 이상이 발생하는 경우 해당 근거를 생성하는 기술이 제공되고 있지 않은 실정이다.Currently, a technique for more systematically monitoring the above-described information and generating a corresponding basis when an abnormality occurs is not provided.

본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, 복수의 서로 다른 종류의 서비스 서버로부터 수집된 로그 정보를 기초로 로그 정보를 모니터링 하기 위한 룰을 생성하고, 이를 기초로 사용자의 정보 유출을 감시하기 위한 정보보안 증적 추적 시스템 및 방법을 제공하는데 그 기술적 과제가 있다.The present invention has been made to solve the above-described problem, and generates a rule for monitoring the log information based on the log information collected from a plurality of different types of service server, and monitors the information leakage of the user based on this There is a technical problem to provide a system and method for tracking information security evidence.

또한, 본 발명은 복수의 룰 간 관계를 기초로 시나리오를 생성하고, 생성된 시나리오를 기초로 로그 정보를 감시하기 위한 것이다.In addition, the present invention is to create a scenario based on the relationship between a plurality of rules, and to monitor the log information based on the generated scenario.

이에 더하여, 본 발명은 보안 사고 발생 시, 원인을 보다 신속하고 정확하게 도출할 수 있도록 하기 위한 것이다.In addition, the present invention is to enable a quick and accurate derivation of the cause when a security incident occurs.

또한, 본 발명은 보안 아웃 소싱 인력의 비정상 업무 패턴을 모니터링 할 수 있도록 하고, 모니터링 결과 이상 징후가 포착되거나 정보 유출이 식별되면 관련 증적 자료를 수집하여 근거를 제시할 수 있도록 하기 위한 것이다.In addition, the present invention is to enable to monitor the abnormal work pattern of the security outsourcing personnel, and to provide evidence by collecting relevant evidence data when the abnormal signs are detected or information leakage is identified.

본 발명은 정보 수집대상이 되는 단위 보안 장비의 종류가 서로 상이하고 분석관점에서 외부로부터의 침입이 아닌 내부로부터의 정보 유출을 감지할 수 있도록 하기 위한 것이다.The present invention is intended to be able to detect the leakage of information from the inside, not the intrusion from the outside from the point of view of the different types of unit security equipment to be collected information.

상술한 목적을 달성하기 위한 본 발명의 정보보안 증적 추적 시스템은 복수의 서비스 서버로부터 전송되는 로그 정보를 수집하여 케이스별로 조합한 후 케이스별 룰을 생성하고, 복수의 룰간 관계를 기초로 시나리오를 생성한 후, 생성된 케이스별 룰과 시나리오를 이용하여 실시간으로 수집되는 로그 정보를 감시하는 정보보안 증적 추적 서버; 및The information security evidence tracking system of the present invention for achieving the above object is to collect the log information transmitted from a plurality of service servers, combine by case, create a case-by-case rule, and generates a scenario based on the relationship between a plurality of rules After that, the information security evidence tracking server for monitoring the log information collected in real time using the generated case-specific rules and scenarios; And

정보보안 증적 추적 서버로부터 전송되는 분석 결과를 기초로 복수의 서비스 서버에 대한 관리를 수행하는 운용자 단말기;를 포함한다.And an operator terminal that manages a plurality of service servers based on analysis results transmitted from the information security evidence tracking server.

다른 본 발명의 정보보안 증적 추적 서버는 통신망을 통해 통신을 수행하기 위한 통신 인터페이스부;Another information security evidence tracking server of the present invention includes a communication interface for performing communication through a communication network;

복수의 서비스 서버로부터 로그 정보를 수집하는 로그 정보 수집부;A log information collecting unit collecting log information from a plurality of service servers;

상기 로그 정보 수집부에 의해서 수집된 로그 정보를 케이스별로 조합한 후 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성한 후, 이를 이용하여 실시간으로 수집되는 로그 정보를 감시하는 룰 관련 분석부; 및After combining the log information collected by the log information collecting unit for each case to generate a case-by-case rule, and to generate the reference rule by classifying the generated rule, using this rule to monitor the log information collected in real time A related analysis unit; And

상기 케이스별 룰을 이용하여 룰간 관계에 따라 시나리오를 생성하고, 생성된 시나리오를 이용하여 실시간으로 수집되는 로그 정보를 감시하는 시나리오 관련 분석부;를 포함한다.It includes a scenario-related analysis unit for generating a scenario according to the relationship between the rules by using the case-by-case rule, and monitoring the log information collected in real time using the generated scenario.

상기 정보보안 증적 추적 서버는,The information security evidence tracking server,

상기 룰 관련 분석부와 시나리오 관련 분석부의 감시 결과를 기초로 기 설정된 항목에 따라 정책 위반 항목 및 정책 위반 상세 내역을 비롯한 전체 결과를 분석 처리하는 분석 결과 처리부; 및An analysis result processing unit for analyzing and processing the entire result including policy violation items and policy violation details according to preset items based on monitoring results of the rule related analysis unit and the scenario related analysis unit; And

상기 분석 결과 처리부에 의해서 생성된 분석 결과를 운용자 단말기로 제공하는 분석 결과 제공부;를 더 포함하는 것이 바람직하다.Preferably, the analysis result providing unit for providing the analysis result generated by the analysis result processing unit to the operator terminal.

상기 룰 관련 분석부는,The rule related analysis unit,

상기 로그 정보 수집부에 의해서 수집된 로그 정보를 케이스별로 조합하여 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성하는 룰 생성수단;Rule generating means for generating a rule for each case by combining the log information collected by the log information collecting unit for each case and classifying the generated rule to generate a reference rule;

상기 룰 생성수단에 의해서 생성된 기준 룰을 기초로 각각의 룰별 감시 기준에 따라 로그 정보를 모니터링하고 이상이 발생한 로그 정보를 추출하는 모니터링 수단; 및Monitoring means for monitoring log information according to the monitoring criteria for each rule based on the reference rule generated by the rule generating means and extracting log information having an abnormality; And

상기 모니터링 수단에 의해서 추출된 로그 정보와 로그 정보의 출처인 서비스 서버 정보, 정책 위반 항목 및 정책 위반 상세 내역을 매칭하여 관리하는 증거 생성수단;을 포함하는 것이 바람직하다.Evidence generating means for matching and managing the log information extracted by the monitoring means and the service server information that is the source of the log information, policy violation items and policy violation details;

상기 기준 룰은 정보유출 예방, 정보유출 징후 모니터링, 정보유출 탐지로 분류된 것이 바람직하다.The reference rule is preferably classified into information leakage prevention, information leakage indication monitoring, information leakage detection.

상기 기준 룰은, 문서보안 비정상 사용자 룰을 포함하며, 상기 모니터링 수단은, 상기 문서보안 비정상 사용자 룰의 감시 기준에 따라, 특정 기간 동안 로그 인/로그 아웃 기록이 임계값을 초과하거나, 또는 로그 인 로그는 존재하지만 로그 아웃 로그가 임계값 이상 존재하지 않는 경우를 문서보안 정책 위반으로 체크하는 것이 바람직하다.The reference rule includes a document security abnormal user rule, and the monitoring means, according to the monitoring criteria of the document security abnormal user rule, the login / logout record exceeds a threshold or logs in for a specific period of time. It is a good idea to check for violations of document security policies when a log exists but the log out log does not exist above the threshold.

상기 기준 룰은, 보안 해제 빈도가 과도한 보안해제 권한 보유자 룰을 포함하며, 상기 모니터링 수단은, 상기 보안 해제 빈도가 과도한 보안해제 권한 보유자 룰의 감시 기준에 따라, 보안문서 해제 이력이 임계값 이상 발생된 사용자를 보안해제 빈도 정책 위반으로 체크하는 것이 바람직하다.The reference rule includes a security release authority holder rule with an excessive security release frequency, and the monitoring means generates a security document release history more than a threshold value according to the monitoring criteria of the security release authority holder with an excessive security release frequency. It is advisable to check a user for a breach frequency policy violation.

상기 기준 룰은, 보안문서 출력 건수 룰을 포함하며, 상기 모니터링 수단은, 상기 보안문서 출력 건수 룰의 감시 기준에 따라, 업무시간 중 기준 횟수 이상 보안문서를 출력, 업무 외 시간에 기준 횟수 이상 보안문서를 출력, VPN 접근을 통해 보안문서를 출력, 집중관리대상자 기준 횟수 이상 보안문서 출력한 경우를 보안문서 출력 건수 정책 위반으로 체크하는 것이 바람직하다.The reference rule includes a security document output number rule, and the monitoring means outputs a security document more than a reference number of times during business hours according to the monitoring criteria of the security document output number rule, and secures a reference number more than a non-business time It is desirable to check the number of security document output policy violations when the document is printed, the security document is output through VPN access, and the security document is output more than the number of times for the centralized management target.

상기 기준 룰은, IP 변경 시도 룰을 포함하며, 상기 모니터링 수단은, 상기 IP 변경 시도 룰의 감시 기준에 따라, IP 변경금지 대상자 중 임의로 IP 변경을 기준 횟수 이상 시도한 자를 IP 변경 정책 위반으로 체크하는 것이 바람직하다.The reference rule includes an IP change attempt rule, and the monitoring means checks any one of IP change prohibition subjects who have arbitrarily attempted an IP change more than a reference number as a violation of the IP change policy according to the monitoring criteria of the IP change attempt rule. It is preferable.

상기 기준 룰은, VPN 사용자 로그인 에러 룰을 포함하며, 상기 모니터링 수단은, 상기 VPN 사용자 로그인 에러 룰의 감시 기준에 따라, VPN 계정 중 로그인 에러가 기준 횟수 이상 발생된 사용자 계정을 정책 위반으로 체크하고, 해당 내용을 운용자 단말기로 전송하도록 하는 것이 바람직하다.The reference rule includes a VPN user login error rule, and the monitoring means checks a user account for which a login error occurs more than the reference number of VPN accounts as a policy violation according to the monitoring criteria of the VPN user login error rule. For example, it is desirable to transmit the contents to the operator terminal.

상기 기준 룰은, 비정상 시간대 VPN 접근 룰을 포함하며, 상기 모니터링 수단은, 상기 비정상 시간대 VPN 접근 룰의 감시 기준에 따라, 기 설정된 비정상 시간대 VPN 작업자 추출 집중관리대상자가 VPN을 통해 주요 시스템에 접근하여 비정상 업무를 수행한 경우와 특정 시간대 접근이 불필요한 시스템으로 VPN을 통해 접근하여 업무가 수행된 경우를 정책 위반으로 체크하는 것이 바람직하다.The reference rule includes an abnormal time zone VPN access rule, and the monitoring means, according to the monitoring criteria of the abnormal time zone VPN access rule, a predetermined abnormal time zone VPN worker extraction central management subject accesses the main system through the VPN It is a good idea to check for violations of policies when you perform abnormal work and when the work is performed by accessing the VPN to a system that does not require access to a specific time zone.

상기 기준 룰은, VPN 접속 과다 데이터 송수신자 룰을 포함하며, 상기 모니 터링 수단은, 상기 VPN 접속 과다 데이터 송수신자 룰의 감시 기준에 따라, VPN 사용자 중 특정 시스템에 접근하여 데이터 업로드/다운로드가 기준 횟수 이상이 사용자를 정책 위반으로 체크하는 것이 바람직하다.The reference rule includes a VPN connection excess data transceiver rule, and the monitoring means accesses a specific system among VPN users based on the monitoring criteria of the VPN connection excess data transmitter / receiver rule. It is desirable to check the user for policy violations more than once.

상기 기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰을 포함하며, 상기 모니터링 수단은, 상기 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰의 감시 기준에 따라, 특정 수신자에게 복수 메일로 분할하여 일정 용량 이상의 파일을 첨부하여 메일을 발송한 송신자를 정책 위반으로 체크하는 것이 바람직하다.The reference rule includes an overtime / external capacity of the task and an external sender rule attached to the file, and the monitoring means provides a specific recipient according to the monitoring criteria of the overtime / extended capacity of the external / externally attached file rule. It is preferable to check a sender who sends a mail by dividing it into a plurality of mails and attaching a file of a certain size or more as a policy violation.

상기 기준 룰은, 파일 전송 과다 룰을 포함하며, 상기 모니터링 수단은, 상기 파일 전송 과다 룰의 감시 기준에 따라, 메신저를 이용하여 기준 용량 이상의 파일을 전송한 사용자 중 특정 키워드가 포함된 파일을 송수신한 사용자를 정책 위반으로 체크하는 것이 바람직하다.The reference rule includes a file transfer excess rule, and the monitoring means transmits and receives a file including a specific keyword among users who transmit a file having a standard capacity or more using a messenger according to the monitoring criteria of the file transfer excess rule. It is advisable to check a user for policy violations.

상기 기준 룰은, 특정 사이트 접속 과다 룰을 포함하며, 상기 모니터링 수단은, 상기 특정 사이트 접속 과다 룰의 감시 기준에 따라, 특정 사이트 접속 횟수가 기준 횟수 이상인 사용자 및 기준 트래픽 이상을 유발한 사용자를 정책 위반으로 체크하는 것이 바람직하다.The reference rule includes a specific site access excess rule, and the monitoring means policies a user who caused the specific site access count more than the reference number and the user who caused the abnormal traffic according to the monitoring criteria of the specific site access excess rule. It is desirable to check for violations.

상기 기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰을 포함하며, 상기 모니터링 수단은, 상기 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰의 감시 기준에 따라, 특정 수신자에게 복수 메일로 분할하여 파일을 일정 용량 이상 첨부하여 메일을 발송한 송신자를 정책 위반으로 체크하는 것이 바람 직하다.The reference rule includes an overtime / external capacity of the task and an external sender rule attached to the file, and the monitoring means provides a specific recipient according to the monitoring criteria of the overtime / extended capacity of the external / externally attached file rule. It is recommended to check the sender who sent mail with the file attached to a certain size by dividing into multiple mails for policy violation.

상기 기준 룰은, 발신 링크 첨부파일 다운로드 과도 룰을 포함하며, 상기 모니터링 수단은, 상기 발신 링크 첨부파일 다운로드 과도 룰의 감시 기준에 따라, 발신 링크 첨부파일 다운로드가 기준 횟수 이상이고, 다운로드 IP가 복수개인 경우를 정책 위반으로 체크하는 것이 바람직하다.The reference rule includes an outgoing link attachment download transient rule, wherein the monitoring means includes, according to the monitoring criteria of the outgoing link attachment download transient rule, the outgoing link attachment download is more than a reference number of times, and the plurality of download IPs is multiple. It is advisable to check individual cases for policy violations.

상기 기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 다운로드 룰을 포함하며, 상기 모니터링 수단은, 상기 업무 내/외 시간 과대 용량, 첨부파일 다운로드 룰의 감시 기준에 따라, 기준 용량 이상 첨부 업로드된 파일을 다운로드한 사용자, 상기 사용자가 집중관리대상자이고 또는 업무상 불필요한 대용량 다운로드를 수행한 경우를 정책 위반으로 체크하는 것이 바람직하다.The reference rule includes an overtime / external capacity and an attached file download rule, and the monitoring means includes an uploaded file having a standard capacity or more according to the monitoring criteria of the overtime / extended time / external file download rule. It is preferable to check the user who downloaded the downloaded file, the case where the user is the centralized management target or when a large amount of unnecessary download is performed as a violation of policy.

상기 시나리오 관련 분석부는, 상기 케이스별 룰에 포함된 룰간의 상관관계를 기초로 정책 위반을 탐지하기 위한 시나리오를 생성하는 시나리오 생성수단;The scenario related analysis unit may include scenario generation means for generating a scenario for detecting a policy violation based on correlation between rules included in the case-by-case rule;

로그 정보 수집부에 의해서 수집된 로그 정보를 상기 시나리오를 이용하여 감시하는 모니터링 수단; 및Monitoring means for monitoring log information collected by a log information collecting unit using the scenario; And

상기 모니터링 수단에 의해서 체크된 로그 정보와 로그 정보의 출처인 서비스 서버 정보, 정책 위반 항목 및 정책 위반 상세 내역을 매칭하여 관리하는 증거 생성수단;을 포함하는 것이 바람직하다.Evidence generating means for matching and managing the log information checked by the monitoring means and the service server information that is the source of the log information, policy violation items and policy violation details;

상기 시나리오는 PC 보안환경 위반 영역, 정보유출 영역, 사람 영역으로 구성된 정보보호 기준을 포함하며, The scenario includes the information protection criteria consisting of PC security environment violation area, information leakage area, human area,

상기 PC 보안환경 위반 영역은 PC 보안 환경을 위반한 사항을 도출해는 룰을 나타내고, 상기 정보유출 영역은 로컬 PC에서 다룬 내부자의 PC 도는 외부자의 PC로 정보가 이동되는 환경에서 보안을 위반한 사항을 도출해는 룰을 나타내며, 사람 영역은 정보유출 가능성이 있는 모든 사용자를 대상으로 집중 관리하고 모니터링 해야 할 인력을 찾는 룰을 나타내는 것이 바람직하다.The violation area of the PC security environment indicates a rule for deriving a violation of the PC security environment, and the information leakage area indicates a violation of security in an environment in which information is moved to an insider's PC or an outsider's PC. The derived solution represents a rule, and the human area preferably represents a rule that finds the human resources to be managed and monitored for all potential users.

상기 시나리오는 심각도 기준을 포함하며,The scenario includes a severity criterion,

상기 심각도 기준은 케이스별 룰 중 동일인이 기준 횟수 이상의 룰에 탐지된 경우, PC 보안환경 위반 영역에 속하는 룰에서 탐지된 사람이 정보유출 영역에 속하는 룰에도 탐지된 경우, PC 보안환경 위반 영역, 정보유출 영역 및 사람 영역에 속하는 룰에 모두 탐지된 경우와 PC 보안환경 위반 영역, 정보유출 영역 및 사람 영역 각각에 속하는 룰로 실제 정보유출이 가능한 경우의 시나리오에 해당하는 룰 집합에 탐지된 경우로 구분되는 것이 바람직하다.The severity criterion is based on the PC security environment violation area and information when the same person is detected in a rule belonging to the PC security environment violation area when the same person is detected in a rule belonging to the information leakage area when the same person is detected in the rule of each case. It is classified into the case where it is detected in the rule belonging to the leaked area and the person area, and the case that is detected in the rule set that corresponds to the scenario where the actual information leakage is possible by the rules belonging to the PC security environment violation area, the information leakage area, and the human area respectively. It is preferable.

또 다른 본 발명은 복수의 서비스 서버와 연결되어 정보보안을 수행하는 정보보안 증적 추적 서버에서 정보보안 증적을 추적하는 방법으로서,Another embodiment of the present invention is a method for tracking information security evidence in an information security evidence tracking server connected to a plurality of service servers to perform information security,

a) 정보보안 증적 추적 서버가 복수의 서비스 서버로부터 로그 정보를 수집하는 단계;a) collecting, by the information security evidence tracking server, log information from the plurality of service servers;

b) 정보보안 증적 추적 서버가 수집된 로그 정보를 케이스별로 조합한 후 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성하는 단계;b) generating a case-by-case rule after combining the collected log information for each case by the information security evidence tracking server, and classifying the generated rule to generate a reference rule;

c) 상기 기준 룰을 기초로 실시간으로 수집되는 로그 정보를 감시하는 단계; 및c) monitoring log information collected in real time based on the reference rule; And

d) 감시 결과를 기초로 기 설정된 항목에 따라 정책 위반 항목 및 정책 위반 상세 내역을 비롯한 전체 결과를 분석 처리하고, 이를 운용자 단말기로 전송하는 단계;를 포함한다.and d) analyzing and transmitting the entire result including the policy violation item and the policy violation detail according to the preset item based on the monitoring result, and transmitting the result to the operator terminal.

상기 b) 단계 이후 c) 단계 이전에, 정보보안 증적 추적 서버가 상기 케이스별 룰을 이용하여 룰간 관계를 기초로 시나리오를 생성하는 단계;를 더 포함하며, 상기 c) 단계에서, 로그 정보를 감시할 때, 상기 시나리오를 감시 기준으로 적용하는 것이 바람직하다.After step b) and before step c), the information security evidence tracking server further comprises generating a scenario based on the relationship between rules using the case-by-case rule. In step c), the log information is monitored. In this case, it is preferable to apply the scenario as a monitoring criterion.

상술한 바와 같이 본 발명의 정보보안 증적 추적 시스템 및 방법은 복수의 서로 다른 종류의 서비스 서버로부터 수집된 로그 정보를 기초로 로그 정보를 모니터링 하기 위한 룰을 생성하고, 이를 기초로 사용자의 정보 유출을 감시할 수 있다는 효과를 기대할 수 있다. As described above, the information security evidence tracking system and method of the present invention generates a rule for monitoring log information based on log information collected from a plurality of different types of service servers, and based on this, information leakage of a user is detected. You can expect the effect of monitoring.

또한, 본 발명은 복수의 룰 간 관계를 기초로 시나리오를 생성하고, 생성된 시나리오를 기초로 로그 정보를 감시하기 때문에, 보다 정확한 감시를 수행할 수 있다는 장점이 있다. In addition, since the present invention generates a scenario based on the relationship between the plurality of rules and monitors log information based on the generated scenario, there is an advantage that more accurate monitoring can be performed.

이에 더하여, 본 발명은 보안 사고 발생 시, 원인을 보다 신속하고 정확하게 도출할 수 있다는 장점이 있다. In addition, the present invention has the advantage that the cause can be more quickly and accurately derived when a security incident occurs.

또한, 본 발명은 보안 아웃소싱 인력의 비정상 업무 패턴을 모니터링 할 수 있도록 하고, 모니터링 결과 이상 징후가 포착되거나 정보 유출이 식별되면 관련 증적 자료를 수집하여 근거를 제시할 수 있다는 장점이 있다.In addition, the present invention has the advantage that it is possible to monitor abnormal work patterns of security outsourcing personnel, and if evidence of abnormality is detected or information leakage is identified, the evidence may be collected and the evidence may be presented.

본 발명은 정보 수집대상이 되는 단위 보안 장비의 종류가 서로 상이하고 분 석관점에서 외부로부터의 침입이 아닌 내부로부터의 정보 유출을 감지할 수 있다는 효과를 기대할 수 있다.The present invention can be expected to have an effect that the types of unit security equipment to be collected information are different from each other and can detect information leakage from the inside rather than intrusion from the outside at the analysis point.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 보다 상세히 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 의한 정보보안 증적 추적 시스템의 구성을 나타내는 도면이다.1 is a view showing the configuration of the information security evidence tracking system according to the present invention.

도시하는 것과 같이, 본 발명의 정보보안 증적 추적 시스템은 복수의 서비스 서버(100)로부터 전송되는 로그 정보를 수집하여 케이스별로 조합한 후 케이스별 룰을 생성하고, 복수의 룰간 관계를 기초로 시나리오를 생성한 후, 생성된 케이스별 룰과 시나리오를 이용하여 실시간으로 수집되는 로그 정보를 감시하는 정보보안 증적 추적 서버(200) 및 정보보안 증적 추적 서버(200)로부터 전송되는 분석 결과를 기초로 복수의 서비스 서버(100)에 대한 관리를 수행하는 운용자 단말기(300)를 포함한다.As shown, the information security evidence tracking system of the present invention collects the log information transmitted from the plurality of service server 100, combines by case, generates a case-by-case rule, and generates a scenario based on the relationship between the plurality of rules. After generating, based on the analysis results transmitted from the information security trail tracking server 200 and the information security trail tracking server 200 to monitor the log information collected in real time using the generated case-specific rules and scenarios It includes an operator terminal 300 for managing the service server 100.

도 1에서 개시하는 서비스 서버(100)는 서로 다른 종류의 연동 대상 장비로 본 발명을 적용할 특정 회사와 관련된 내부 서버 또는 외부 서버를 모두 포함하는 의미이다.The service server 100 disclosed in FIG. 1 is meant to include both an internal server or an external server related to a specific company to which the present invention is applied to different types of interworking target devices.

예를 들어, 서비스 서버(100)는 문서 보안 서버, 정책 변경 관리 서버, 내부 구성원 인사 정보 관리 서버(IMS), 인사 정보 서버, 대리점 고객정보 유출 감사 서버, 고객정보 전송 관리 서버, PC 보안 서버 등이다.For example, the service server 100 may include a document security server, a policy change management server, an internal member personnel information management server (IMS), a personnel information server, a distributor customer information leakage audit server, a customer information transmission management server, a PC security server, and the like. to be.

한편, 정보보안 증적 추적 서버(200)가 상기 서비스 서버(100)로부터 수집한 로그 정보는 일 예로 다음과 같다.On the other hand, log information collected by the information security evidence tracking server 200 from the service server 100 is as follows.

예를 들어, 서비스 서버가 문서 보안 서버일 경우는 다음과 같다.For example, the service server is a document security server as follows.

- 문서보안 로그(사용자 문서보안 활용 로그) : 로그시간, 로그타입아이디_DRM구분, 사용자아이디_사번, PC아이디, 클라이언트 IP, 클라이언트 맥주소, 파일명, 프린터 마킹여부, 프린트 텍스트 파일명, 원본 파일명, 최초생성자 아이디_사번, 문서최초생성시간, 로그업로드시간, 문서 열람자 리스트, 프로세스명, 범주명, 문서타입, 문서등급, 출력카운트, 오프라인로그여부, 로그타입명_DRM 구분명-Document security log (user document security utilization log): log time, log type ID_DRM classification, user ID_company number, PC ID, client IP, client address, file name, printer marking status, print text file name, original file name, Initial Creator ID_Number, Document First Generation Time, Log Upload Time, Document Viewer List, Process Name, Category Name, Document Type, Document Grade, Output Count, Offline Log Whether, Log Type Name_DRM

- 관리자 문서보안 로그(관리자 권한 수행 로그) : 로그시간, 로그타입아이디, 관리자 아이디_사번, 관리자 접속 IP, 관리자 접속 MAC 주소, 대상사용자 ID, 파일명, 원본 파일명, 문서최초 생성자 ID, 문서최초 생성시간, 최근열람자 리스트-Administrator document security log (administrative authority execution log): log time, log type ID, administrator ID_company number, administrator access IP, administrator access MAC address, target user ID, file name, original file name, document first creator ID, document first generation Time, list of recent viewers

- 보안폴터 사용로그 : 로그일시, 로그타입아이디, 로그타입명, 사용자 ID, 대상사용자 ID, 대상경로, 반출사유, 원본파일명, 대상파일명, 문서크기-Security folder usage log: log date, log type ID, log type name, user ID, target user ID, target path, reason for export, original file name, target file name, document size

- 문서보안 매체사용로그 : 사원번호_사용자 ID, 로그일시, MAC 주소, IP주소, PC_ID, 매체종류, 저장경로, 내부외부구분, 파일크기, 로그생성일자-Document Security Media Usage Log: Employee No._User ID, Log Date, MAC Address, IP Address, PC_ID, Media Type, Storage Path, Internal / External Classification, File Size, Log Creation Date

- 로그인정보 로그 : 로그시간, 사용자 ID, 사용자 PC ID, 사용자 PC IP, 사용자 PC MAC 주소, 로그타입 ID, 로그타입명 -Login information log: log time, user ID, user PC ID, user PC IP, user PC MAC address, log type ID, log type name

- 구버전 문서보안 로그인정보 로그 : 로그시간, 사용자 ID, 사용자 PC ID, 사용자 PC IP, 사용자 PC MAC 주소, 로그타입 ID, 로그타입명-Old version document security login information log: log time, user ID, user PC ID, user PC IP, user PC MAC address, log type ID, log type name

상술한 로그 정보는 일 예이며, 각각의 서비스 서버(100)에 따라, 운용자가 임의로 수집할 로그 정보를 설정, 변경, 삭제하는 것이 가능하다.The above-described log information is an example, and according to each service server 100, it is possible to set, change, and delete log information to be arbitrarily collected by an operator.

도 2는 본 발명에 의한 정보보안 정보보안 증적 추적 관리 서버의 구성을 나타내는 도면이다.2 is a diagram showing the configuration of the information security information security trace tracking management server according to the present invention.

도시하는 것과 같이, 정보보안 증적 추적 관리 서버(200)는 통신 인터페이스부(210), 로그 정보 수집부(220), 룰 관련 분석부(230), 시나리오 관련 분석부(240), 분석 결과 처리부(250) 및 분석 결과 제공부(260)를 포함한다.As shown, the information security evidence tracking management server 200 is a communication interface 210, log information collection unit 220, rule-related analysis unit 230, scenario-related analysis unit 240, analysis result processing unit ( 250 and an analysis result providing unit 260.

보다 상세히 설명하면, 통신 인터페이스부(210)는 통신망을 통해 통신을 수행하기 위한 구성 요소이다.In more detail, the communication interface 210 is a component for performing communication through a communication network.

로그 정보 수집부(220)는 복수의 서비스 서버로부터 로그 정보를 수집한다.The log information collecting unit 220 collects log information from a plurality of service servers.

룰 관련 분석부(230)는 로그 정보 수집부(220)에 의해서 수집된 로그 정보를 케이스별로 조합한 후 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성한 후, 이를 이용하여 실시간으로 수집되는 로그 정보를 감시한다.The rule related analysis unit 230 combines the log information collected by the log information collecting unit 220 for each case, generates a case-by-case rule, classifies the generated rules, generates a reference rule, and then uses the same. Monitor log information collected in real time.

시나리오 관련 분석부(240)는 케이스별 룰을 이용하여 룰간 관계에 따라 시나리오를 생성하고, 생성된 시나리오를 이용하여 실시간으로 수집되는 로그 정보를 감시한다.Scenario-related analysis unit 240 generates a scenario according to the relationship between the rules by using a case-by-case rule, and monitors the log information collected in real time using the generated scenario.

분석 결과 처리부(250)는 룰 관련 분석부(230)와 시나리오 관련 분석부(240)의 감시 결과를 기초로 기 설정된 항목에 따라 정책 위반 항목 및 정책 위반 상세 내역을 비롯한 전체 결과를 분석 처리한다.The analysis result processor 250 analyzes the entire result including the policy violation item and the policy violation detail according to a preset item based on the monitoring result of the rule related analysis unit 230 and the scenario related analysis unit 240.

보다 상세히 설명하면, 분석 결과 처리부(250)는 증거 생성수단(235, 245)에 의해서 각각 분석 및 매칭된 결과를 서로 통합하고, 특정 항목에 따라 분류하여 실 제 정보 유출 여부를 판단할 수 있는 증적 자료로 제공할 수 있도록 한다.In more detail, the analysis result processing unit 250 integrates the results analyzed and matched by the evidence generating means 235 and 245, respectively, and classifies them according to specific items to determine whether actual information leaks. Make it available as material.

예를 들어, 분석 결과 처리부(250)는 하나의 룰/시나리오에 탐지된 경우, 특정 기간을 적용하여 이전 또는 다른 서버에서의 정보 유출 관련 증적을 확인하여 실제 정보 유출 여부를 판단할 수 있도록 하는 것이다.For example, when the analysis result processing unit 250 is detected in one rule / scenario, it is possible to determine whether or not the actual information is leaked by confirming information leakage related records from a previous or another server by applying a specific period. .

분석 결과 제공부(260)는 분석 결과 처리부(250)에 의해서 생성된 분석 결과를 운용자 단말기(300)로 제공한다.The analysis result providing unit 260 provides the analysis result generated by the analysis result processing unit 250 to the operator terminal 300.

도 3은 본 발명에 의한 룰 관련 분석부의 구성을 나타내는 도면이다.3 is a diagram illustrating a configuration of a rule related analysis unit according to the present invention.

도시하는 바와 같이, 룰 관련 분석부(230)는 룰 생성수단(231), 모니터링 수단(233) 및 증거 생성수단(235)을 포함한다.As shown, the rule related analysis unit 230 includes a rule generating means 231, a monitoring means 233, and evidence generating means 235.

보다 상세히 설명하면, 룰 생성수단(231)은 로그 정보 수집부(220)에 의해서 수집된 로그 정보를 케이스별로 조합하여 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성한다.In more detail, the rule generating means 231 generates a case-by-case rule by combining the log information collected by the log information collecting unit 220 for each case, and classifies the generated rule to generate a reference rule.

예를 들어, 룰 생성수단(231)은 로그 정보 수집부(220)에 의해서 수집된 복수의 로그 정보를 기초로 케이스1로부터 케이스46까지의 인프라 환경에서 정보유출이 가능한 경우를 유추할 수 있는 케이스를 도출하고, 각 케이스와 서비스 서버(100)로부터 수집된 로그 정보를 조합하여 (표1)에서 도시하는 것과 같이 케이스 각각에 만족될 수 있는 46개의 케이스별 룰을 생성한다.For example, the rule generating unit 231 may infer a case where information leakage is possible in an infrastructure environment from case 1 to case 46 based on the plurality of log information collected by the log information collecting unit 220. Derived by combining the log information collected from each case and the service server 100 to generate 46 case-specific rules that can be satisfied in each case as shown in Table 1.

(표1)(Table 1)

Figure 112009025890018-PAT00001
이후, 룰 생성수단(231)은 생성된 케이스별 룰을 분류하여 기준 룰을 생성한다.
Figure 112009025890018-PAT00001
Thereafter, the rule generating unit 231 generates the reference rule by classifying the generated case-specific rules.

여기에서, 기준 룰은 정보유출 예방, 정보유출 징후 모니터링, 정보유출 탐지로 분류된다.Here, the reference rules are classified into information leakage prevention, information leakage indication monitoring, and information leakage detection.

정보유출 예방 룰은 룰에서 탐지된 정보를 이용해서 전사적으로 정보 유출을 예방할 수 있는 조치를 취하도록 유도하는 룰이 속한 그룹의 룰을 의미하는 것으 로, 감시 결과에 따라 예방 조치를 취할 수 있는 근거를 제공하기 위한 것이다.The information leakage prevention rule refers to the group's rule that induces measures to prevent information leakage throughout the enterprise by using the information detected in the rule. It is to provide.

또한, 정보유출 징후 모니터링 룰은 룰에서 탐지된 정보를 분석했을 경우, 정보유출 징후로 판단하여 집중적으로 관리 및 모니터링 해야 할 사람을 도출하는 룰이 속한 그룹의 룰을 의미하는 것으로, 감시 결과에 따라 집중 모니터링 해야 할 근거를 제공하기 위한 것이다.In addition, the information leakage indication monitoring rule means the rule of the group to which the rule which derives the person to be managed and monitored by judging it as an information leakage indication when analyzing the information detected in the rule. It is intended to provide a basis for intensive monitoring.

이에 더하여, 정보유출 탐지 모니터링 룰은 룰에서 탐지된 정보를 분석했을 경우 정보유출 가능성이 높은 정보를 도출하는 룰이 속한 그룹의 룰을 의미하는 것으로, 감시 결과에 따라 감사 등 실증자료를 획득해야 할 근거를 제공하기 위한 것이다.In addition, the information leakage detection monitoring rule refers to the rule of the group to which the rule which derives the information with high possibility of information leakage when the information detected in the rule is analyzed. It is to provide evidence.

모니터링 수단(233)은 룰 생성수단(231)에 의해서 생성된 기준 룰을 기초로 각각의 룰별 감시 기준에 따라 로그 정보를 모니터링하고 이상이 발생한 로그 정보를 추출한다.The monitoring means 233 monitors log information according to the monitoring criteria for each rule based on the reference rule generated by the rule generating means 231 and extracts log information in which an abnormality occurs.

예를 들어, 기준 룰이, 문서보안 비정상 사용자 룰을 포함하면, 모니터링 수단(233)은 문서보안 비정상 사용자 룰의 감시 기준에 따라, 특정 기간 동안 로그 인/로그 아웃 기록이 임계값을 초과하거나, 또는 로그 인 로그는 존재하지만 로그 아웃 로그가 임계값 이상 존재하지 않는 경우를 문서보안 정책 위반으로 체크한다.For example, if the reference rule includes the document security abnormal user rule, the monitoring means 233 determines that the log-in / log-out record exceeds a threshold value for a specific period according to the monitoring criteria of the document security abnormal user rule, Alternatively, if the log-in log exists but the log-out log does not exist above the threshold, check for document security policy violation.

또한, 기준 룰은, 보안 해제 빈도가 과도한 보안해제 권한 보유자 룰을 포함하며, 모니터링 수단(233)은 보안 해제 빈도가 과도한 보안해제 권한 보유자 룰의 감시 기준에 따라, 보안문서 해제 이력이 임계값 이상 발생된 사용자를 보안해제 빈도 정책 위반으로 체크한다.Also, the reference rule includes a security release authority holder rule with excessive security release frequency, and the monitoring means 233 according to the monitoring criteria of the security release authority holder rule with excessive security release frequency, the security document release history is more than a threshold value. The user is checked as a security frequency violation.

기준 룰은, 보안문서 출력 건수 룰을 포함하며, 모니터링 수단(233)은 보안문서 출력 건수 룰의 감시 기준에 따라, 업무시간 중 기준 횟수 이상 보안문서를 출력, 업무 외 시간에 기준 횟수 이상 보안문서를 출력, VPN 접근을 통해 보안문서를 출력, 집중관리대상자 기준 횟수 이상 보안문서 출력한 경우를 보안문서 출력 건수 정책 위반으로 체크한다.The reference rule includes a security document output number rule, and the monitoring means 233 outputs the security document more than the reference number of times during the business hours according to the monitoring criteria of the security document output number rule, and the security document more than the reference number of times during the non-business hours. If the security document is output through the VPN access, and the security document is output more than the number of times for the centralized management target, check the number of security document output policy violations.

기준 룰은, IP 변경 시도 룰을 포함하며, 모니터링 수단(233)은 IP 변경 시도 룰의 감시 기준에 따라, IP 변경금지 대상자 중 임의로 IP 변경을 기준 횟수 이상 시도한 자를 IP 변경 정책 위반으로 체크한다.The reference rule includes an IP change attempt rule, and the monitoring means 233 checks, as the IP change policy violation, any one of the IP change prohibited persons who attempted an IP change arbitrarily more than the reference number of times according to the monitoring criteria of the IP change attempt rule.

상기 기준 룰은, VPN 사용자 로그인 에러 룰을 포함하며, 모니터링 수단(233)은 VPN 사용자 로그인 에러 룰의 감시 기준에 따라, VPN 계정 중 로그인 에러가 기준 횟수 이상 발생된 사용자 계정을 정책 위반으로 체크하고, 해당 내용을 운용자 단말기(300)로 전송하도록 한다.The reference rule includes a VPN user login error rule, and the monitoring means 233 checks a user account for which a login error occurs more than the reference number of VPN accounts as a policy violation according to the monitoring criteria of the VPN user login error rule. , To transmit the contents to the operator terminal (300).

상기 기준 룰은, 비정상 시간대 VPN 접근 룰을 포함하며, 모니터링 수단(233)은 비정상 시간대 VPN 접근 룰의 감시 기준에 따라, 기 설정된 비정상 시간대 VPN 작업자 추출 집중관리대상자가 VPN을 통해 주요 시스템에 접근하여 비정상 업무를 수행한 경우와 특정 시간대 접근이 불필요한 시스템으로 VPN을 통해 접근하여 업무가 수행된 경우를 정책 위반으로 체크한다.The reference rule includes an abnormal time zone VPN access rule, and the monitoring means 233 according to the monitoring criteria of the abnormal time zone VPN access rule, the predetermined abnormal time zone VPN worker extraction central management subject accesses the main system through the VPN. Policy violations are checked for cases where abnormal work is performed and when work is performed by accessing a VPN to a system that does not require access to a specific time zone.

기준 룰은, VPN 접속 과다 데이터 송수신자 룰을 포함하며, 모니터링 수단(233)은 VPN 접속 과다 데이터 송수신자 룰의 감시 기준에 따라, VPN 사용자 중 특정 시스템에 접근하여 데이터 업로드/다운로드가 기준 횟수 이상이 사용자를 정 책 위반으로 체크한다.The reference rule includes a VPN connection excess data sender / receiver rule, and the monitoring means 233 accesses a specific system among VPN users according to the monitoring criteria of the VPN connection excess data sender / receiver rule to perform data upload / download more than the reference number of times. Check this user for policy violations.

기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰을 포함하며, 모니터링 수단(233)은 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰의 감시 기준에 따라, 특정 수신자에게 복수 메일로 분할하여 일정 용량 이상의 파일을 첨부하여 메일을 발송한 송신자를 정책 위반으로 체크한다.The reference rule includes an overtime / external capacity of the task and an external sender rule attached to the file, and the monitoring means 233 is configured to send a plurality of data to a specific recipient according to the monitoring criteria of the overtime / extended capacity of the external / external filer rule. The sender who sent a mail with a file of more than a certain size divided by mail is checked for policy violation.

기준 룰은, 파일 전송 과다 룰을 포함하며, 모니터링 수단(233)은 파일 전송 과다 룰의 감시 기준에 따라, 메신저를 이용하여 기준 용량 이상의 파일을 전송한 사용자 중 특정 키워드가 포함된 파일을 송수신한 사용자를 정책 위반으로 체크한다.The reference rule includes a file transfer excess rule, and the monitoring means 233 transmits / receives a file including a specific keyword among users who transmit a file having a standard capacity or more using a messenger according to the monitoring criteria of the file transfer excess rule. Check the user for policy violations.

상기 기준 룰은, 특정 사이트 접속 과다 룰을 포함하며, 모니터링 수단(233)은 특정 사이트 접속 과다 룰의 감시 기준에 따라, 특정 사이트 접속 횟수가 기준 횟수 이상인 사용자 및 기준 트래픽 이상을 유발한 사용자를 정책 위반으로 체크한다.The reference rule includes a specific site access excess rule, and the monitoring means 233 policies a user who caused a specific site access count or more than a reference number and a user who caused an abnormal traffic according to the monitoring criteria of the specific site access excess rule. Check for violations.

기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰을 포함하며, 모니터링 수단(233)은 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰의 감시 기준에 따라, 특정 수신자에게 복수 메일로 분할하여 파일을 일정 용량 이상 첨부하여 메일을 발송한 송신자를 정책 위반으로 체크한다.The reference rule includes an overtime / external capacity of the task and an external sender rule attached to the file, and the monitoring means 233 is configured to send a plurality of data to a specific recipient according to the monitoring criteria of the overtime / extended capacity of the external / external filer rule. A sender who sends a mail with a file attached to a certain size by dividing into a mail is checked for policy violation.

기준 룰은, 발신 링크 첨부파일 다운로드 과도 룰을 포함하며, 모니터링 수단(233)은 발신 링크 첨부파일 다운로드 과도 룰의 감시 기준에 따라, 발신 링크 첨부파일 다운로드가 기준 횟수 이상이고, 다운로드 IP가 복수개인 경우를 정책 위 반으로 체크한다.The reference rule includes an outgoing link attachment download transient rule, and the monitoring means 233 according to the monitoring criteria of the outgoing link attachment download transient rule, the outgoing link attachment download is more than the reference number of times, and the plurality of download IPs are multiple. Check the case against the policy.

기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 다운로드 룰을 포함하며, 모니터링 수단(233)은 업무 내/외 시간 과대 용량, 첨부파일 다운로드 룰의 감시 기준에 따라, 기준 용량 이상 첨부 업로드된 파일을 다운로드한 사용자, 상기 사용자가 집중관리대상자이고 또는 업무상 불필요한 대용량 다운로드를 수행한 경우를 정책 위반으로 체크한다.The standard rule includes an overtime / external capacity and an attached file download rule, and the monitoring means 233 uploads an attached file that is larger than or equal to the standard capacity according to the monitoring criteria of the overtime / external time / attached file download rule. The user who downloaded the file, the user who is the centralized management target, or performs a large amount of unnecessary downloads for work is checked as a policy violation.

증거 생성수단(235)은 모니터링 수단(233)에 의해서 추출된 로그 정보와 로그 정보의 출처인 서비스 서버 정보, 정책 위반 항목 및 정책 위반 상세 내역을 매칭하여 관리한다.The evidence generating means 235 matches and manages the log information extracted by the monitoring means 233 with the service server information which is the source of the log information, the policy violation item, and the policy violation detail.

도 4는 본 발명에 의한 시나리오 관련 분석부의 구성을 나타내는 도면이다.4 is a diagram illustrating a configuration of a scenario related analysis unit according to the present invention.

도시하는 것과 같이, 시나리오 관련 분석부(240)는 시나리오 생성수단(241), 모니터링 수단(243) 및 증거 생성수단(245)을 포함한다.As shown, the scenario related analysis unit 240 includes a scenario generating means 241, a monitoring means 243 and the evidence generating means 245.

보다 상세히 설명하면, 시나리오 생성수단(241)은 케이스별 룰에 포함된 룰간의 상관관계를 기초로 정책 위반을 탐지하기 위한 시나리오를 생성한다.In more detail, the scenario generating means 241 generates a scenario for detecting a policy violation based on correlation between rules included in a case-by-case rule.

상기 시나리오는 PC 보안환경 위반 영역, 정보유출 영역, 사람 영역으로 구성된 정보보호 기준을 포함하며, PC 보안환경 위반 영역은 PC 보안 환경을 위반한 사항을 도출해는 룰을 나타내고, 상기 정보유출 영역은 로컬 PC에서 다룬 내부자의 PC 도는 외부자의 PC로 정보가 이동되는 환경에서 보안을 위반한 사항을 도출해는 룰을 나타내며, 사람 영역은 정보유출 가능성이 있는 모든 사용자를 대상으로 집중 관리하고 모니터링 해야 할 인력을 찾는 룰을 나타낸다.The scenario includes an information protection standard consisting of a PC security environment violation area, an information leakage area, and a human area. The PC security environment violation area represents a rule for deriving a violation of the PC security environment, and the information leakage area is local. The insider's PC handled by the PC or the rule that draws a violation of security in the environment where the information is transferred to the outsider's PC, and the human area is the manpower that needs to be managed and monitored for all potential users. Indicates the rule to look for.

여기에서, 시나리오는 심각도 기준을 포함하며, 심각도 기준은 케이스별 룰 중 동일인이 기준 횟수 이상의 룰에 탐지된 경우, PC 보안환경 위반 영역에 속하는 룰에서 탐지된 사람이 정보유출 영역에 속하는 룰에도 탐지된 경우, PC 보안환경 위반 영역, 정보유출 영역 및 사람 영역에 속하는 룰에 모두 탐지된 경우와 PC 보안환경 위반 영역, 정보유출 영역 및 사람 영역 각각에 속하는 룰로 실제 정보유출이 가능한 경우의 시나리오에 해당하는 룰 집합에 탐지된 경우로 구분된다.In this case, the scenario includes a severity criterion, and the severity criterion is also detected in a rule belonging to the information leakage area when a person belonging to the PC security environment violation area is detected when the same person is detected in a rule more than the standard number of times. In this case, it is applicable to the scenarios in which the PC security environment violation area, information leakage area, and human area rule are all detected, and the rules belonging to the PC security environment violation area, information leakage area, and human area are available for actual information leakage. It is divided into cases detected in the rule set.

예를 들어, 심각도 3은 46종의 룰 중에서 동일인이 2개 이상의 룰에 탐지된 경우로, 동일한 사람이 영역에 관계없이 2개 이상의 룰에 탐지된 경우로써 이러한 사용자는 집중 관리 대상자로 선정하여 지속적으로 모니터링 되도록 체크되는 시나리오이다.For example, severity 3 is the case where the same person is detected in two or more rules out of 46 rules, and the same person is detected in two or more rules regardless of the area. This scenario is checked to be monitored.

심각도 2는 PC 보안 환경 위반 영역에 속하는 룰에서 탐지된 사람이 정보 유출 영역에 속하는 룰에도 탐지된 경우로, 동일한 사람이 PC 보안환경위반 영역에 속하는 룰에도 탐지되고 정보 유출 영역에 속하는 룰에도 탐지되는 경우로써 이러한 사용자는 집중 관리 대상자로 선정하고, 실제로 유출된 정보가 고객 또는 내부 정보가 포함되어 있는지 검증하는 절차를 수행하도록 체크되는 시나리오이다.Severity 2 is when a person detected in a rule belonging to the PC security environment violation area is also detected in a rule belonging to the information leakage area. The same person is detected in a rule belonging to the PC security environment violation area and also in a rule belonging to the information leakage area. In such a case, the user is selected as a centralized management target, and the scenario is checked to perform a procedure of verifying whether the leaked information actually includes customer or internal information.

심각도 1은 PC 보안환경 위반 영역에 속하는 룰에서 탐지된 사람이 정보 유출 영역에 속하는 룰에서도 탐지되고, 사람 영역에 속하는 룰에도 탐지되는 경우로, 동일한 사람이 PC 보안 환경 위반 영역과, 정보 유출 영역, 사람 영역 모두에서 탐지되는 경우로써 이는 모든 영역을 위반한 사항으로 정보유출이 시도 되었다고 신뢰할 수 있는 정조의 수준을 나타내는 것으로, 포렌직(Forensics) 등을 통한 정밀 업무 분석 등을 실시할 수 있는 근거를 제공하는 것이 가능한 시나리오이다.Severity 1 is a case where a person detected in a rule belonging to the PC security environment violation area is also detected in a rule belonging to the information leakage area and a rule belonging to a person area. The same person is a PC security environment violation area and an information leakage area. In this case, it is detected in both human domains, which indicates the level of confidence that the information has been attempted to violate all domains, and provides a basis for conducting precise business analysis through Forensics. It is a possible scenario to provide.

시나리오 기반 심각도 1은 PC 보안환경 위반 영역, 정보 유출 영역, 사람 영역 각각에 속하는 룰로 실제 정보 유출이 가능한 경우를 고려하여 작성된 시나리오에 해당하는 룰 집합에 의해 탐지되는 경우로, 시나리오 기반 룰은 실제 업무 환경에서 정보 유출 가능한 시나리오를 수립하고 해당 시나리오에 유출되는 정보가 탐지되도록 3가지 영역에 속하는 룰의 조합으로 탐지되는 경우이며, 이는 정보 유출이 시도 되었다고 신뢰할 수 있는 정보의 수준을 나타내는 것이고, 포렌직 등을 통한 정밀 업무 분석 등을 실시할 수 있는 근거를 제공하는 것이 가능한 시나리오이다.Scenario-based severity 1 is a rule that belongs to the PC security environment violation area, information leakage area, and human area, and is detected by the rule set that corresponds to the scenario created considering the possibility of actual information leakage. It is a case of establishing a scenario where information can be leaked from the environment, and it is detected by a combination of rules belonging to three areas so that the information leaked in the scenario can be detected, which indicates the level of information that can be relied on that the information has been attempted. In this scenario, it is possible to provide a basis for conducting precise business analysis.

모니터링 수단(243)은 로그 정보 수집부(220)에 의해서 수집된 로그 정보를 시나리오를 이용하여 감시한다.The monitoring means 243 monitors the log information collected by the log information collecting unit 220 using a scenario.

증거 생성수단(245)은 모니터링 수단(243)에 의해서 체크된 로그 정보와 로그 정보의 출처인 서비스 서버 정보, 정책 위반 항목 및 정책 위반 상세 내역을 매칭하여 관리한다.The evidence generating means 245 matches and manages the log information checked by the monitoring means 243, service server information which is the source of the log information, policy violation items, and policy violation details.

도 5는 본 발명에 의한 정보보안 증적 추적 방법의 일 예를 설명하기 위한 흐름도이다.5 is a flowchart illustrating an example of a method for tracking information security evidence according to the present invention.

먼저, 정보보안 증적 추적 서버(200)는 복수의 서비스 서버로부터 로그 정보를 수집한다(S101).First, the information security evidence tracking server 200 collects log information from a plurality of service servers (S101).

이어서, 정보보안 증적 추적 서버(200)는 수집된 로그 정보를 케이스별로 조합한 후 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성한 다(S103).Subsequently, the information security evidence tracking server 200 combines the collected log information on a case-by-case basis, generates a case-by-case rule, and classifies the generated rule to generate a reference rule (S103).

이후, 정보보안 증적 추적 서버(200)는 케이스별 룰을 이용하여 룰간 관계를 기초로 시나리오를 생성한다(S105).Thereafter, the information security evidence tracking server 200 generates a scenario based on the relationship between the rules by using a case-by-case rule (S105).

정보보안 증적 추적 서버(200)는 기준 룰과 시나리오를 기초로 실시간으로 수집되는 로그 정보를 감시한다(S107).Information security evidence tracking server 200 monitors the log information collected in real time based on the reference rules and scenarios (S107).

여기에서, 단계 S105는 운용자의 필요에 따라 생략 가능하며, 단계 S105가 생략된 경우, 정보보안 증적 추적 서버(200)는 로그 정보를 감시할 때, 기준 룰 만을 적용한다. 한편, 단계 S105가 생략되지 않은 경우, 정보보안 증적 추적 서버(200)는 시나리오도 감시 기준으로 적용한다.Here, step S105 may be omitted as required by the operator. When step S105 is omitted, the information security evidence tracking server 200 applies only a reference rule when monitoring log information. On the other hand, if step S105 is not omitted, the information security evidence tracking server 200 also applies the scenario as monitoring criteria.

정보보안 증적 추적 서버(200)는 감시 결과를 기초로 기 설정된 항목에 따라 정책 위반 항목 및 정책 위반 상세 내역을 비롯한 전체 결과를 분석 처리하고, 이를 운용자 단말기(300)로 전송한다(S109).The information security evidence tracking server 200 analyzes the entire result including the policy violation item and the policy violation detail according to the preset item based on the monitoring result, and transmits the result to the operator terminal 300 (S109).

여기에서, 정보보안 증적 추적 서버(200)는 단계 S107에서의 감시 결과를 기초로, 정책 위반 항목에 매칭된 결과를 서로 통합하고, 특정 항목에 따라 분류하여 실제 정보 유출 여부를 판단할 수 있는 증적 자료를 생성한다.Here, the information security evidence tracking server 200 integrates the results matched to the policy violation items based on the monitoring result in step S107, and classified according to specific items to determine whether or not the actual information leakage Generate data.

이와 같이, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구 범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.As such, those skilled in the art will appreciate that the present invention can be implemented in other specific forms without changing the technical spirit or essential features thereof. Therefore, the above-described embodiments are to be understood as illustrative in all respects and not as restrictive. The scope of the present invention is shown by the following claims rather than the detailed description, and all changes or modifications derived from the meaning and scope of the claims and their equivalents should be construed as being included in the scope of the present invention. do.

이상과 같이, 본 발명의 정보보안 증적 추적 시스템 및 방법은 복수의 서비스 서버로부터 수집된 로그 정보를 기초로 로그 정보를 모니터링 하기 위한 룰을 생성하고, 이를 기초로 사용자의 정보 유출을 감시하며, 복수의 룰 간 관계를 기초로 시나리오를 생성하고, 생성된 시나리오를 기초로 로그 정보를 감시하여 보다 정확한 감시를 수행할 필요성이 높은 것에 적합하다.As described above, the information security evidence tracking system and method of the present invention generates a rule for monitoring log information based on log information collected from a plurality of service servers, and monitors the leakage of user information based on the log information. It is suitable for creating a scenario based on the relationship between rules, and monitoring the log information based on the generated scenario to perform more accurate monitoring.

도 1은 본 발명에 의한 정보보안 증적 추적 시스템의 구성을 나타내는 도면,1 is a view showing the configuration of the information security evidence tracking system according to the present invention,

도 2는 본 발명에 의한 정보보안 증적 추적 관리 서버의 구성을 나타내는 도면,2 is a view showing the configuration of the information security evidence tracking management server according to the present invention;

도 3은 본 발명에 의한 룰 관련 분석부의 구성을 나타내는 도면,3 is a view showing a configuration of a rule related analysis unit according to the present invention;

도 4는 본 발명에 의한 시나리오 관련 분석부의 구성을 나타내는 도면,4 is a view showing a configuration of a scenario related analysis unit according to the present invention;

도 5는 본 발명에 의한 정보보안 증적 추적 방법의 일 예를 설명하기 위한 흐름도이다.5 is a flowchart illustrating an example of a method for tracking information security evidence according to the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

100 : 서비스 서버 200 : 정보보안 증적 추적 서버100: service server 200: information security evidence tracking server

210 : 통신 인터페이스부 220 : 로그 정보 수집부210: communication interface unit 220: log information collection unit

230 : 룰 관련 분석부 231 : 룰 생성 수단230: rule-related analysis unit 231: rule generation means

233 : 모니터링 수단 235 : 증거 생성수단233 monitoring means 235 evidence generating means

240 : 시나리오 관련 분석부 241 : 시나리오 생성수단240: scenario-related analysis unit 241: scenario generation means

243 : 모니터링 수단 245 : 증거 생성수단243 monitoring means 245 means for generating evidence

250 : 분석 결과 처리부 260 : 분석 결과 제공부250: analysis result processing unit 260: analysis result provider

300 : 운용자 단말기300: operator terminal

Claims (23)

복수의 서비스 서버로부터 전송되는 로그 정보를 수집하여 케이스별로 조합한 후 케이스별 룰을 생성하고, 복수의 룰간 관계를 기초로 시나리오를 생성한 후, 생성된 케이스별 룰과 시나리오를 이용하여 실시간으로 수집되는 로그 정보를 감시하는 정보보안 증적 추적 서버; 및Collect log information transmitted from a plurality of service servers, combine them on a case-by-case basis, generate a case-by-case rule, generate a scenario based on the relationship between the plurality of rules, and collect them in real time using the generated case-specific rules and scenarios. An information security evidence tracking server that monitors log information generated; And 정보보안 증적 추적 서버로부터 전송되는 분석 결과를 기초로 복수의 서비스 서버에 대한 관리를 수행하는 운용자 단말기;An operator terminal for managing a plurality of service servers based on analysis results transmitted from the information security evidence tracking server; 를 포함하는 정보보안 증적 추적 시스템.Information security evidence tracking system comprising a. 통신망을 통해 통신을 수행하기 위한 통신 인터페이스부;A communication interface unit for performing communication through a communication network; 복수의 서비스 서버로부터 로그 정보를 수집하는 로그 정보 수집부; 및A log information collecting unit collecting log information from a plurality of service servers; And 상기 로그 정보 수집부에 의해서 수집된 로그 정보를 케이스별로 조합한 후 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성한 후, 이를 이용하여 실시간으로 수집되는 로그 정보를 감시하는 룰 관련 분석부;After combining the log information collected by the log information collecting unit for each case to generate a case-by-case rule, and to generate the reference rule by classifying the generated rule, using this rule to monitor the log information collected in real time A related analysis unit; 를 포함하는 정보보안 증적 추적 서버.Information security evidence tracking server comprising a. 제2항에 있어서,The method of claim 2, 상기 정보보안 증적 추적 서버는,The information security evidence tracking server, 상기 케이스별 룰을 이용하여 룰간 관계에 따라 시나리오를 생성하고, 생성 된 시나리오를 이용하여 실시간으로 수집되는 로그 정보를 감시하는 시나리오 관련 분석부;A scenario related analyzer configured to generate a scenario according to a relationship between rules using the case-by-case rule, and monitor log information collected in real time using the generated scenario; 를 더 포함하는 것을 특징으로 하는 정보보안 증적 추적 서버.Information security evidence tracking server further comprising a. 제3항에 있어서,The method of claim 3, 상기 정보보안 증적 추적 서버는,The information security evidence tracking server, 상기 룰 관련 분석부와 시나리오 관련 분석부의 감시 결과를 기초로 기 설정된 항목에 따라 정책 위반 항목 및 정책 위반 상세 내역을 비롯한 전체 결과를 분석 처리하는 분석 결과 처리부; 및An analysis result processing unit for analyzing and processing the entire result including policy violation items and policy violation details according to preset items based on monitoring results of the rule related analysis unit and the scenario related analysis unit; And 상기 분석 결과 처리부에 의해서 생성된 분석 결과를 운용자 단말기로 제공하는 분석 결과 제공부;An analysis result providing unit configured to provide an analysis result generated by the analysis result processing unit to an operator terminal; 를 더 포함하는 것을 특징으로 하는 정보보안 증적 추적 서버.Information security evidence tracking server further comprising a. 제2항에 있어서,The method of claim 2, 상기 룰 관련 분석부는,The rule related analysis unit, 상기 로그 정보 수집부에 의해서 수집된 로그 정보를 케이스별로 조합하여 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성하는 룰 생성수단;Rule generating means for generating a rule for each case by combining the log information collected by the log information collecting unit for each case and classifying the generated rule to generate a reference rule; 상기 룰 생성수단에 의해서 생성된 기준 룰을 기초로 각각의 룰별 감시 기준에 따라 로그 정보를 모니터링하고 이상이 발생한 로그 정보를 추출하는 모니터링 수단; 및Monitoring means for monitoring log information according to the monitoring criteria for each rule based on the reference rule generated by the rule generating means and extracting log information having an abnormality; And 상기 모니터링 수단에 의해서 추출된 로그 정보와 로그 정보의 출처인 서비스 서버 정보, 정책 위반 항목 및 정책 위반 상세 내역을 매칭하여 관리하는 증거 생성수단;Evidence generating means for matching and managing the log information extracted by the monitoring means with service server information, a policy violation item, and a policy violation detail that are sources of log information; 을 포함하는 것을 특징으로 하는 정보보안 증적 추적 서버.Information security evidence tracking server comprising a. 제5항에 있어서,The method of claim 5, 상기 기준 룰은 정보유출 예방, 정보유출 징후 모니터링, 정보유출 탐지로 분류된 것을 특징으로 하는 정보보안 증적 추적 서버.The reference rule is an information security evidence tracking server, characterized in that classified into information leakage prevention, information leakage monitoring, information leakage detection. 제5항에 있어서,The method of claim 5, 상기 기준 룰은, 문서보안 비정상 사용자 룰을 포함하며,The reference rule includes a document security abnormal user rule, 상기 모니터링 수단은,The monitoring means, 상기 문서보안 비정상 사용자 룰의 감시 기준에 따라, 특정 기간 동안 로그 인/로그 아웃 기록이 임계값을 초과하거나, 또는 로그 인 로그는 존재하지만 로그 아웃 로그가 임계값 이상 존재하지 않는 경우를 문서보안 정책 위반으로 체크하는 것을 특징으로 하는 정보 보안 증적 추적 서버.According to the monitoring criteria of the document security abnormal user rule, a log-in / log-out record exceeds a threshold value or a log-in log exists but the log-out log does not exist above the threshold value for a specific period. An information security trail tracking server characterized by checking for violations. 제5항에 있어서,The method of claim 5, 상기 기준 룰은, 보안 해제 빈도가 과도한 보안해제 권한 보유자 룰을 포함하며,The reference rule includes a security release authority holder rule with an excessive security release frequency. 상기 모니터링 수단은,The monitoring means, 상기 보안 해제 빈도가 과도한 보안해제 권한 보유자 룰의 감시 기준에 따라, 보안문서 해제 이력이 임계값 이상 발생된 사용자를 보안해제 빈도 정책 위반으로 체크하는 것을 특징으로 하는 정보 보안 증적 추적 서버.Information security evidence tracking server, characterized in that for checking the user who has a security document release history of more than a threshold value as a security release frequency policy violation, according to the monitoring criteria of the security release authority holder rule excessive security release frequency. 제5항에 있어서,The method of claim 5, 상기 기준 룰은, VPN 사용자 로그인 에러 룰을 포함하며,The reference rule includes a VPN user login error rule, 상기 모니터링 수단은,The monitoring means, 상기 VPN 사용자 로그인 에러 룰의 감시 기준에 따라, VPN 계정 중 로그인 에러가 기준 횟수 이상 발생된 사용자 계정을 정책 위반으로 체크하고, 해당 내용을 운용자 단말기로 전송하도록 하는 것을 특징으로 하는 정보 보안 증적 추적 서버.According to the monitoring criteria of the VPN user login error rule, check the user account that the login error occurs more than the reference number of VPN accounts as a policy violation, and transmits the information to the operator terminal information security evidence tracking server, characterized in that . 제5항에 있어서,The method of claim 5, 상기 기준 룰은, 비정상 시간대 VPN 접근 룰을 포함하며,The reference rule includes an abnormal time zone VPN access rule, 상기 모니터링 수단은,The monitoring means, 상기 비정상 시간대 VPN 접근 룰의 감시 기준에 따라, 기 설정된 비정상 시간대 VPN 작업자 추출 집중관리대상자가 VPN을 통해 주요 시스템에 접근하여 비정상 업무를 수행한 경우와 특정 시간대 접근이 불필요한 시스템으로 VPN을 통해 접근하여 업무가 수행된 경우를 정책 위반으로 체크하는 것을 특징으로 하는 정보 보 안 증적 추적 서버.According to the monitoring criteria of the abnormal time zone VPN access rule, when the predetermined abnormal time zone VPN worker extraction centralized management subject accesses the main system through the VPN to perform abnormal work, and accesses the system through which the specific time zone access is not required. An information security tracking server that checks for violations of policy when work is performed. 제5항에 있어서,The method of claim 5, 상기 기준 룰은, VPN 접속 과다 데이터 송수신자 룰을 포함하며,The reference rule includes a VPN connection excessive data sender rule, 상기 모니터링 수단은,The monitoring means, 상기 VPN 접속 과다 데이터 송수신자 룰의 감시 기준에 따라, VPN 사용자 중 특정 시스템에 접근하여 데이터 업로드/다운로드가 기준 횟수 이상이 사용자를 정책 위반으로 체크하는 것을 특징으로 하는 정보 보안 증적 추적 서버.The information security evidence tracking server, characterized in that the user accesses a specific system among VPN users and checks the user as a policy violation more than the standard number of times of data upload / download based on the monitoring criteria of the VPN access excessive data transmitter / receiver rule. 제5항에 있어서,The method of claim 5, 상기 기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰을 포함하며,The reference rule includes an excessive amount of time within / outside the task and an external sender rule with an attached file. 상기 모니터링 수단은,The monitoring means, 상기 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰의 감시 기준에 따라, 특정 수신자에게 복수 메일로 분할하여 일정 용량 이상의 파일을 첨부하여 메일을 발송한 송신자를 정책 위반으로 체크하는 것을 특징으로 하는 정보 보안 증적 추적 서버.According to the overtime capacity of the internal / external time and the monitoring criteria of the external sender rule of attachment, the sender who has sent a mail by dividing the message into a plurality of recipients and attaching a file having a certain capacity is checked as a policy violation. Information security trail tracking server. 제5항에 있어서,The method of claim 5, 상기 기준 룰은, 파일 전송 과다 룰을 포함하며,The reference rule includes a file transfer excess rule, 상기 모니터링 수단은,The monitoring means, 상기 파일 전송 과다 룰의 감시 기준에 따라, 메신저를 이용하여 기준 용량 이상의 파일을 전송한 사용자 중 특정 키워드가 포함된 파일을 송수신한 사용자를 정책 위반으로 체크하는 것을 특징으로 하는 정보 보안 증적 추적 서버.According to the monitoring criterion of the excessive file transfer rule, the information security evidence tracking server, characterized in that the user who has transmitted and received a file containing a specific keyword among the users who have sent a file of more than the standard capacity using a messenger as a policy violation. 제5항에 있어서,The method of claim 5, 상기 기준 룰은, 특정 사이트 접속 과다 룰을 포함하며,The reference rule includes a specific site access excess rule, 상기 모니터링 수단은,The monitoring means, 상기 특정 사이트 접속 과다 룰의 감시 기준에 따라, 특정 사이트 접속 횟수가 기준 횟수 이상인 사용자 및 기준 트래픽 이상을 유발한 사용자를 정책 위반으로 체크하는 것을 특징으로 하는 정보 보안 증적 추적 서버.The information security evidence tracking server according to the monitoring criteria of the specific site access excessive rule, the user who caused the specific site access count more than the reference number of times and the user causing the abnormal traffic as the policy violation check. 제5항에 있어서,The method of claim 5, 상기 기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰을 포함하며,The reference rule includes an excessive amount of time within / outside the task and an external sender rule with an attached file. 상기 모니터링 수단은,The monitoring means, 상기 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰의 감시 기준에 따라, 특정 수신자에게 복수 메일로 분할하여 파일을 일정 용량 이상 첨부하여 메일을 발송한 송신자를 정책 위반으로 체크하는 것을 특징으로 하는 정보 보안 증적 추적 서버.According to the overtime capacity of the internal / external time and the monitoring criteria of the external sender rule of attachment, the sender who sends a mail by attaching a file more than a certain capacity by dividing it into a plurality of mails to a specific recipient and checking it as a policy violation Information security trail tracking server. 제5항에 있어서,The method of claim 5, 상기 기준 룰은, 발신 링크 첨부파일 다운로드 과도 룰을 포함하며,The reference rule includes an outgoing link attachment download transient rule, 상기 모니터링 수단은,The monitoring means, 상기 발신 링크 첨부파일 다운로드 과도 룰의 감시 기준에 따라, 발신 링크 첨부파일 다운로드가 기준 횟수 이상이고, 다운로드 IP가 복수개인 경우를 정책 위반으로 체크하는 것을 특징으로 하는 정보 보안 증적 추적 서버.The information security evidence tracking server according to the monitoring criteria of the outgoing link attachment download transient rule, checks that the outgoing link attachment download is more than a reference number and there are a plurality of download IPs as a policy violation. 제5항에 있어서,The method of claim 5, 상기 기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 다운로드 룰을 포함하며,The reference rule includes an overtime / external capacity of the task, an attachment download rule, 상기 모니터링 수단은,The monitoring means, 상기 업무 내/외 시간 과대 용량, 첨부파일 다운로드 룰의 감시 기준에 따라, 기준 용량 이상 첨부 업로드된 파일을 다운로드한 사용자, 상기 사용자가 집중관리대상자이고 또는 업무상 불필요한 대용량 다운로드를 수행한 경우를 정책 위반으로 체크하는 것을 특징으로 하는 정보 보안 증적 추적 서버. Policy violation for the user who downloaded the uploaded file with more than the standard capacity, the user is the centralized management target or performs unnecessary large-scale download in accordance with the overtime / external capacity of the work and the monitoring criteria of the attachment file download rule. Information security evidence tracking server, characterized in that the check. 제3항에 있어서,The method of claim 3, 상기 시나리오 관련 분석부는,The scenario related analysis unit, 상기 케이스별 룰에 포함된 룰간의 상관관계를 기초로 정책 위반을 탐지하기 위한 시나리오를 생성하는 시나리오 생성수단;Scenario generation means for generating a scenario for detecting a policy violation based on correlation between rules included in the case-by-case rule; 로그 정보 수집부에 의해서 수집된 로그 정보를 상기 시나리오를 이용하여 감시하는 모니터링 수단; 및Monitoring means for monitoring log information collected by a log information collecting unit using the scenario; And 상기 모니터링 수단에 의해서 체크된 로그 정보와 로그 정보의 출처인 서비스 서버 정보, 정책 위반 항목 및 정책 위반 상세 내역을 매칭하여 관리하는 증거 생성수단;Evidence generating means for matching and managing the log information checked by the monitoring means with service server information, a policy violation item, and a policy violation detail that are the sources of log information; 을 포함하는 것을 특징으로 하는 정보보안 증적 추적 서버.Information security evidence tracking server comprising a. 제18항에 있어서,The method of claim 18, 상기 시나리오는 PC 보안환경 위반 영역, 정보유출 영역, 사람 영역으로 구성된 정보보호 기준을 포함하며, The scenario includes the information protection criteria consisting of PC security environment violation area, information leakage area, human area, 상기 PC 보안환경 위반 영역은 PC 보안 환경을 위반한 사항을 도출해는 룰을 나타내고, 상기 정보유출 영역은 로컬 PC에서 다룬 내부자의 PC 도는 외부자의 PC로 정보가 이동되는 환경에서 보안을 위반한 사항을 도출해는 룰을 나타내며, 사람 영역은 정보유출 가능성이 있는 모든 사용자를 대상으로 집중 관리하고 모니터링 해야 할 인력을 찾는 룰을 나타내는 것을 특징으로 하는 정보보안 증적 추적 서버.The violation area of the PC security environment indicates a rule for deriving a violation of the PC security environment, and the information leakage area indicates a violation of security in an environment in which information is moved to an insider's PC or an outsider's PC. The derivation represents a rule, and the human domain represents a rule for finding a manpower that needs to be managed and monitored for all potential users. 제19항에 있어서,The method of claim 19, 상기 시나리오는 심각도 기준을 포함하며,The scenario includes a severity criterion, 상기 심각도 기준은 케이스별 룰 중 동일인이 기준 횟수 이상의 룰에 탐지된 경우, PC 보안환경 위반 영역에 속하는 룰에서 탐지된 사람이 정보유출 영역에 속하는 룰에도 탐지된 경우, PC 보안환경 위반 영역, 정보유출 영역 및 사람 영역에 속하는 룰에 모두 탐지된 경우와 PC 보안환경 위반 영역, 정보유출 영역 및 사람 영역 각각에 속하는 룰로 실제 정보유출이 가능한 경우의 시나리오에 해당하는 룰 집합에 탐지된 경우로 구분되는 것을 특징으로 하는 정보보안 증적 추적 서버.The severity criterion is based on the PC security environment violation area and information when the same person is detected in a rule belonging to the PC security environment violation area when the same person is detected in a rule belonging to the information leakage area when the same person is detected in the rule of each case. It is classified into the case where it is detected in the rule belonging to the leaked area and the person area, and the case that is detected in the rule set that corresponds to the scenario where the actual information leakage is possible by the rules belonging to the PC security environment violation area, the information leakage area, and the human area respectively. Information security evidence tracking server, characterized in that. 복수의 서비스 서버와 연결되어 정보보안을 수행하는 정보보안 증적 추적 서버에서 정보보안 증적을 추적하는 방법으로서,A method for tracking information security evidence on an information security evidence tracking server connected to a plurality of service servers to perform information security. a) 정보보안 증적 추적 서버가 복수의 서비스 서버로부터 로그 정보를 수집하는 단계;a) collecting, by the information security evidence tracking server, log information from the plurality of service servers; b) 정보보안 증적 추적 서버가 수집된 로그 정보를 케이스별로 조합한 후 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성하는 단계;b) generating a case-by-case rule after combining the collected log information for each case by the information security evidence tracking server, and classifying the generated rule to generate a reference rule; c) 상기 기준 룰을 기초로 실시간으로 수집되는 로그 정보를 감시하는 단계; 및c) monitoring log information collected in real time based on the reference rule; And d) 감시 결과를 기초로 기 설정된 항목에 따라 정책 위반 항목 및 정책 위반 상세 내역을 비롯한 전체 결과를 분석 처리하고, 이를 운용자 단말기로 전송하는 단계;d) analyzing and transmitting the entire result including the policy violation item and the policy violation detail according to the preset item based on the monitoring result and transmitting the result to the operator terminal; 를 포함하는 정보보안 증적 추적 방법.Information security evidence tracking method comprising a. 제21항에 있어서,The method of claim 21, 상기 b) 단계 이후 c) 단계 이전에,After step b) and before step c), 정보보안 증적 추적 서버가 상기 케이스별 룰을 이용하여 룰간 관계를 기초로 시나리오를 생성하는 단계;를 더 포함하며,Generating, by the information security evidence tracking server, a scenario based on the relationship between rules using the case-specific rule; 상기 c) 단계에서,In step c), 로그 정보를 감시할 때, 상기 시나리오를 감시 기준으로 적용하는 것을 특징으로 하는 정보보안 증적 추적 방법.When the log information is monitored, the information security evidence tracking method, characterized in that for applying the scenario as a monitoring criteria. 제22항에 있어서,The method of claim 22, 상기 d) 단계에서,In step d), 정보보안 증적 추적 서버가 상기 c) 단계에서의 감시 결과를 기초로, 정책위반 항목에 매칭된 결과를 서로 통합하고, 특정 항목에 따라 분류하여 실제 정보 유출 여부를 판단할 수 있는 증적 자료를 생성하는 것을 특징으로 하는 정보보안 증적 추적 방법. On the basis of the monitoring result in step c), the information security evidence tracking server integrates the results matched with the policy violation items, and classifies them according to specific items to generate evidence data to determine whether or not the actual information is leaked. Information security evidence tracking method, characterized in that.
KR1020090037261A 2009-04-28 2009-04-28 System and Method for Tracing Signature Security Information KR101548138B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090037261A KR101548138B1 (en) 2009-04-28 2009-04-28 System and Method for Tracing Signature Security Information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090037261A KR101548138B1 (en) 2009-04-28 2009-04-28 System and Method for Tracing Signature Security Information

Publications (2)

Publication Number Publication Date
KR20100118422A true KR20100118422A (en) 2010-11-05
KR101548138B1 KR101548138B1 (en) 2015-08-31

Family

ID=43404734

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090037261A KR101548138B1 (en) 2009-04-28 2009-04-28 System and Method for Tracing Signature Security Information

Country Status (1)

Country Link
KR (1) KR101548138B1 (en)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101239401B1 (en) * 2012-10-05 2013-03-06 강명훈 Log analysys system of the security system and method thereof
KR101259579B1 (en) * 2012-11-08 2013-04-30 (주)유와이즈원 System and method of opertating information security task
KR101590486B1 (en) * 2015-07-06 2016-02-01 (주)다우기술 Inspection system and method of attached file for detecting Advanced Persistent Threat
KR101666614B1 (en) * 2015-07-06 2016-10-14 (주)다우기술 Detection system and method for Advanced Persistent Threat using record
KR20160121248A (en) * 2015-04-10 2016-10-19 주식회사 하나은행 Security apparatus, tracking server and method for detecting distribution channel of security document
WO2017026825A1 (en) * 2015-08-12 2017-02-16 한국전력공사 Chain rule-based insider illegal activity detecting apparatus and method
KR20180044658A (en) * 2016-10-24 2018-05-03 주식회사 윈스 High level detector for event between different kinds of security devices
KR101880217B1 (en) * 2017-11-30 2018-07-19 (주)씨커스 Apparatus and method for generating scenario automatically for security threat analysis
WO2019231089A1 (en) * 2018-06-01 2019-12-05 주식회사 시큐브 System for performing bi-directional inquiry, comparison and tracking on security policies and audit logs, and method therefor
KR20200017169A (en) * 2018-08-08 2020-02-18 동명대학교산학협력단 Integrated Monitoring Method Using Log Data
CN112016094A (en) * 2020-08-14 2020-12-01 深圳市迈科龙电子有限公司 Block chain service safety protection strategy management and control system and method
KR20220095564A (en) 2020-12-30 2022-07-07 소프트캠프 주식회사 Path trace method and system for electronic document
CN112016094B (en) * 2020-08-14 2024-04-30 深圳市迈科龙电子有限公司 System and method for managing and controlling block chain service safety protection strategy

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004362075A (en) 2003-06-02 2004-12-24 Fujitsu Ltd Security management system and its control method
JP5112751B2 (en) 2007-06-05 2013-01-09 株式会社日立ソリューションズ Self-inspection system for security measures

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101239401B1 (en) * 2012-10-05 2013-03-06 강명훈 Log analysys system of the security system and method thereof
WO2014054854A1 (en) * 2012-10-05 2014-04-10 Kang Myoung Hun Log analysis system and log analyis method for security system
US20150256551A1 (en) * 2012-10-05 2015-09-10 Myoung Hun Kang Log analysis system and log analysis method for security system
KR101259579B1 (en) * 2012-11-08 2013-04-30 (주)유와이즈원 System and method of opertating information security task
KR20160121248A (en) * 2015-04-10 2016-10-19 주식회사 하나은행 Security apparatus, tracking server and method for detecting distribution channel of security document
KR101590486B1 (en) * 2015-07-06 2016-02-01 (주)다우기술 Inspection system and method of attached file for detecting Advanced Persistent Threat
KR101666614B1 (en) * 2015-07-06 2016-10-14 (주)다우기술 Detection system and method for Advanced Persistent Threat using record
WO2017026825A1 (en) * 2015-08-12 2017-02-16 한국전력공사 Chain rule-based insider illegal activity detecting apparatus and method
KR20180044658A (en) * 2016-10-24 2018-05-03 주식회사 윈스 High level detector for event between different kinds of security devices
KR101880217B1 (en) * 2017-11-30 2018-07-19 (주)씨커스 Apparatus and method for generating scenario automatically for security threat analysis
WO2019231089A1 (en) * 2018-06-01 2019-12-05 주식회사 시큐브 System for performing bi-directional inquiry, comparison and tracking on security policies and audit logs, and method therefor
JP2021532440A (en) * 2018-06-01 2021-11-25 シキューブ カンパニー,リミテッド Security policy and audit log bidirectional query, collation, tracking system and its method {SECURITY POLICY AND AUDIO LOG BI-DIRECTIONAL LOOKUP, COMPARIING AND TRACKING SYSTEM AND METHOD THEREOF}
KR20200017169A (en) * 2018-08-08 2020-02-18 동명대학교산학협력단 Integrated Monitoring Method Using Log Data
CN112016094A (en) * 2020-08-14 2020-12-01 深圳市迈科龙电子有限公司 Block chain service safety protection strategy management and control system and method
CN112016094B (en) * 2020-08-14 2024-04-30 深圳市迈科龙电子有限公司 System and method for managing and controlling block chain service safety protection strategy
KR20220095564A (en) 2020-12-30 2022-07-07 소프트캠프 주식회사 Path trace method and system for electronic document

Also Published As

Publication number Publication date
KR101548138B1 (en) 2015-08-31

Similar Documents

Publication Publication Date Title
KR101548138B1 (en) System and Method for Tracing Signature Security Information
US11470108B2 (en) Detection and prevention of external fraud
CN208227074U (en) Electric power monitoring system network security monitors terminal
US8793789B2 (en) Insider threat correlation tool
US8800034B2 (en) Insider threat correlation tool
CN113474776A (en) Threat detection platform for real-time detection, characterization, and remediation of email-based threats
US11451576B2 (en) Investigation of threats using queryable records of behavior
US8474042B2 (en) Insider threat correlation tool
CN105812200B (en) Anomaly detection method and device
CN108270716A (en) A kind of audit of information security method based on cloud computing
CN112131057B (en) AI test method, client and system of network security equipment
CN111274276A (en) Operation auditing method and device, electronic equipment and computer-readable storage medium
Khan et al. Towards augmented proactive cyberthreat intelligence
KR20110110431A (en) Apparatus for information security and method thereof
KR20120016732A (en) Cloud computing system and method for security management for each tenant in multi-tenancy environment
KR101399326B1 (en) Tracking trail apparatus for information security and method thereof
Mascetti et al. EPIC: a methodology for evaluating privacy violation risk in cybersecurity systems
CN115499840A (en) Security assessment system and method for mobile internet
Hajdarevic et al. A new method for the identification of proactive information security management system metrics
Pamnani et al. Incident Handling in SCADA & OT Environments
KR20110003704A (en) Information leakage indication analysis system and method
KR101498647B1 (en) Security Management System And Security Management Method Using The Same
KR101733770B1 (en) Private security management apparatus and system for managing security of private terminal using vlan and method thereof
Ouedraogo et al. Keeping an eye on your security through assurance indicators
KR102330404B1 (en) Method And Apparatus for Diagnosing Integrated Security

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant