KR20100120798A - Tracking trail apparatus for information security and method thereof - Google Patents

Tracking trail apparatus for information security and method thereof Download PDF

Info

Publication number
KR20100120798A
KR20100120798A KR1020090039617A KR20090039617A KR20100120798A KR 20100120798 A KR20100120798 A KR 20100120798A KR 1020090039617 A KR1020090039617 A KR 1020090039617A KR 20090039617 A KR20090039617 A KR 20090039617A KR 20100120798 A KR20100120798 A KR 20100120798A
Authority
KR
South Korea
Prior art keywords
rules
information
rule
detected
log
Prior art date
Application number
KR1020090039617A
Other languages
Korean (ko)
Other versions
KR101399326B1 (en
Inventor
전현철
이기혁
Original Assignee
에스케이 텔레콤주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이 텔레콤주식회사 filed Critical 에스케이 텔레콤주식회사
Priority to KR1020090039617A priority Critical patent/KR101399326B1/en
Publication of KR20100120798A publication Critical patent/KR20100120798A/en
Application granted granted Critical
Publication of KR101399326B1 publication Critical patent/KR101399326B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/105Human resources

Abstract

PURPOSE: A device and a method for tracing evidence for information security are provided to collect integrated laos between heterogeneous kinds and utilize the integrated log according to the type and detects the leak of the information more accurately. CONSTITUTION: A log collecting unit(110) collects log information from a plurality of information collecting sources(101~103). A first log correlation analysis unit(120) mixes the collected log information of the log collection unit according to the case. The first log correlation analyzing unit draws a plurality of rules. A first regulation analyzing unit(130) determines a danger level index through inter-rule correlation analysis between regulation about a plurality of regulations of the first log correlation analysis unit. The danger level is an evidence of determination of information leakage.

Description

정보보안을 위한 증적추적 장치 및 방법{TRACKING TRAIL APPARATUS FOR INFORMATION SECURITY AND METHOD THEREOF}[0001] TRACKING TRAIL APPARATUS FOR INFORMATION SECURITY AND METHOD THEREOF [0002]

본 발명은 정보보안을 위한 증적추적 장치 및 방법에 관한 것으로, 더욱 상세하게는, 로그정보를 이용해 인가된 사용자들의 비정상적인 활동을 모니터링함으로써 내부망으로부터의 정보유출을 탐지하고, 방지대책을 도출할 수 있는 정보보안을 위한 증적추적 장치 및 방법에 관한 것이다.The present invention relates to a trace tracing apparatus and method for information security, and more particularly, it relates to a trace tracing apparatus and method for information security, and more particularly to a trace tracing apparatus and method for detecting information leakage from an internal network by monitoring abnormal activity of authorized users using log information, The present invention relates to a trace tracing device and method for information security.

정보유출 탐지는 내부자에 의한 기업의 내부정보유출을 사전에 방지하기 위한 것으로, 정보유출 탐지를 목적으로 e-DRM(enterprise digital rights management), 매체제어 솔루션, 메일 모니터링 등의 다양한 기술이 제안되어 왔다. 여기서, 기업의 내부정보는 상당히 광범위한 개념으로 광의적으로 해석한다면 '기업 내에서 사용자에 의해 생성된 모든 정보'로 볼 수 있으며, 보다 소극적으로 해석한다면 '기업 내에서 사용자에 의해 생성된 정보 중 대외비급 이상의 성격을 포함하는 문서'라고 볼 수 있다.Information leakage detection is intended to prevent internal information leakage by insiders, and various technologies such as e-DRM (enterprise digital rights management), media control solution, and mail monitoring have been proposed for the purpose of information leak detection . Here, the internal information of a company can be viewed as' all the information generated by users in the enterprise 'if it is interpreted broadly as a broad concept, and if it is interpreted more passively,' external information A document containing the character of a non-overtrade ".

그런데, 이러한 의미의 내부정보에 대하여, 단순히 PC(personal computer) 등의 사용자 단말 단에서의 정보 흐름을 통제하고 분석하는 매체제어 솔루션이나e-DRM, 혹은 메일로 전송되는 데이터에 대해서만 정보유출을 방지하는 메일 모니터링과 같은 제품군을 통해서만 정보유출 탐지를 수행하기에는 어느 정도 한계가 있었다.However, with respect to the internal information in this sense, it is necessary to prevent the information leakage only for the media control solution or e-DRM for controlling and analyzing the information flow at the user terminal of the PC (personal computer) There is a limit to the extent to which information leakage detection can be performed only through a product family such as e-mail monitoring.

한편, 매체제어 솔루션 제품군, e-DRM 제품군, 메일 모니터링 제품군, 데이터베이스 모니터링 제품군 등 다양한 단위 보안제품의 로그를 통합하여, 통합로그를 정보유출 탐지에 이용하는 종래 기술이 존재한다. 그러나 해당 종래 기술은 통합로그에서 단순히 조건에 위반된 사항을 분석하여 제시함으로써 정보유출을 알리고, 재발 방지 조치를 이행하도록 한다. 이러한 기술은 정보유출 여부를 탐지하는 분석 방법이 얼마나 효과적이냐에 따라 성능이 매우 달라질 수 있으며, 원하는 수준의 성능을 달성하기에는 역부족인 실정이다.On the other hand, there is a conventional technology that integrates logs of various unit security products such as a media control solution product family, an e-DRM product family, a mail monitoring product family, and a database monitoring product family, and uses the integrated log for information leakage detection. However, the related art discloses information leakage by analyzing and presenting the violation of the condition simply in the integrated log, and implements the prevention of the recurrence prevention. This technology can be very different in performance depending on how effective the analysis method for detecting information leakage is, and it is not enough to achieve the desired level of performance.

또한, 종래의 통합로그 분석 방법은 대부분 시스템 로그를 수집하거나 또는 외부로부터 침입을 탐지하는 보안제품의 로그정보를 통합하여 분석하는 체계(ex. 방화벽, IDS, IPS, Secure OS 등)를 이루고 있다. 그러나, 이런 종류의 통합로그 분석 시스템은 내부정보에 대한 로그정보를 수집하여 분석하는 체계가 구축되어 있지 않다는 한계가 있다.In addition, most of the conventional integrated log analysis methods are systems (eg, firewalls, IDS, IPS, Secure OS, etc.) for collecting system logs or analyzing log information of security products for detecting intrusions from the outside. However, this type of integrated log analysis system has a limitation in that a system for collecting and analyzing log information about internal information is not constructed.

본 발명이 해결하고자 하는 기술적 과제는 이기종 간의 다양한 통합로그를 취합하여 유형별로 분류해 활용함으로써 보다 효과적이고 정확하게 정보유출 탐지를 수행할 수 있는 정보보안을 위한 증적추적 장치 및 방법을 제공하는 것이다.The technical problem to be solved by the present invention is to provide a trace tracing apparatus and method for information security which can collect information of various kinds of heterogeneous logs and classify them and classify them and use them more effectively and accurately.

본 발명이 해결하고자 하는 다른 기술적 과제는 사용자들의 비정상적인 활동을 모니터링하고, 모니터링 결과 이상징후가 포착되거나 정보유출이 식별되면 관련된 증적자료를 수집하여 정확한 근거를 제시할 수 있는 정보보안을 위한 증적추적 장치 및 방법을 제공하는 것이다.Another technical problem to be solved by the present invention is to provide a trace tracing device for information security that monitors abnormal activity of users and collects relevant trace data when an abnormal symptom of the monitoring result is captured or information leakage is identified, And a method thereof.

본 발명이 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The technical objects to be achieved by the present invention are not limited to the technical matters mentioned above, and other technical subjects which are not mentioned can be clearly understood by those skilled in the art from the following description. There will be.

본 발명에 따른 정보보안을 위한 증적추적 장치는, 복수의 정보 수집원으로부터 로그정보를 수집하는 로그 수집부; 상기 로그 수집부에서 수집된 로그정보를 경우 별로 조합하여 복수의 규칙을 도출하는 1차 로그 상관분석부; 및 상기 1차 로그 상관분석부에서 도출된 상기 복수의 규칙을 대상으로 규칙 간 상관분석을 통해 정보유출 여부 판단의 근거가 되는 심각도 지수를 결정하는 2차 규칙 상관분석부를 포함한다.A trail tracing apparatus for information security according to the present invention includes: a log collecting unit for collecting log information from a plurality of information collecting sources; A primary logarithmic correlation unit for deriving a plurality of rules by combining log information collected by the log collecting unit in each case; And a secondary rule correlation analyzing unit for determining a severity index as a basis for judging whether or not to leak the information through the inter-rule correlation analysis on the plurality of rules derived from the primary log correlation analyzing unit.

한편, 본 발명에 따른 정보보안을 위한 증적추적 방법은, 복수의 정보 수집 원으로부터 로그정보를 수집하는 로그 수집 단계; 상기 복수의 정보 수집원으로부터 수집된 로그정보를 경우 별로 조합하여 복수의 규칙을 도출하는 1차 로그 상관분석 단계; 및 상기 복수의 규칙을 대상으로 규칙 간 상관분석을 통해 정보유출 여부 판단의 근거가 되는 심각도 지수를 결정하는 2차 규칙 상관분석 단계를 포함한다.Meanwhile, a trace tracing method for information security according to the present invention includes: a log collecting step of collecting log information from a plurality of information collecting sources; A primary logarithmic correlation step of deriving a plurality of rules by combining log information collected from the plurality of information collecting sources on a case-by-case basis; And a secondary rule correlation analysis step of determining a severity index as a basis for judging whether or not to leak the information through inter-rule correlation analysis on the plurality of rules.

본 발명에 따른 정보보안을 위한 증적추적 장치 및 방법은, 이기종 간의 다양한 통합로그를 취합하여 유형별로 분류해 활용함으로써 보다 효과적이고 정확하게 정보유출 탐지를 수행할 수 있다.The apparatus and method for tracing information for security according to the present invention collects various kinds of integrated logs of different kinds and classifies them according to types, thereby making it possible to perform information leak detection more effectively and accurately.

또한, 본 발명에 따른 정보보안을 위한 증적추적 장치 및 방법은, 사용자들의 비정상적인 활동을 모니터링하고, 모니터링 결과 이상징후가 포착되거나 정보유출이 식별되면 관련된 증적자료를 수집하여 정확한 근거를 제시할 수 있다.In addition, the apparatus and method for tracing information for security according to the present invention can monitor abnormal activity of users and collect relevant tracing data when an abnormal symptom of a monitoring result is captured or an information leak is identified, .

이하에서는, 본 발명의 바람직한 실시예에 따른 정보보안을 위한 증적추적 장치 및 방법에 대하여 첨부된 도 1 내지 도 3을 참조하여 상세히 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, an apparatus and method for tracing a trace of information according to a preferred embodiment of the present invention will be described in detail with reference to FIGS. 1 to 3 attached hereto.

도 1은 본 발명의 일 실시예에 따른 정보보안을 위한 증적추적 장치의 개략적인 구성도이다.1 is a schematic block diagram of a trace tracing device for information security according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 증적추적 장치는 로그 수집 부(110), 1차 로그 상관분석부(120), 성격별 규칙 분류부(140), 2차 규칙 상관분석부(130)를 포함한다.1, the trail tracking apparatus according to an exemplary embodiment of the present invention includes a log collecting unit 110, a primary log correlation analyzing unit 120, a personality classifying unit 140, (130).

로그 수집부(110)는 연동 가능한 복수의 정보 수집원(여러 가지의 단위 보안 장비들)으로부터 로그정보를 수집한다. 도 1의 증적추적 장치는 외부로부터의 침입이 아닌 내부로부터의 정부유출 분석을 위한 것이다. 그러므로, 이러한 로그 수집부(110)는 인터넷을 통해 내부망으로 침입해 들어오는 인바운드 패킷(inbound packet)에 대한 감사로그가 아닌, 내부망에서 유출되는 이기종 간의 아웃바운드 패킷(outbound packet)에 관한 로그정보를 수집 대상으로 한다. 정보 수집원으로는 내부정보 수집원(101), 내부/고객 공통 수집원(102), 고객정보 수집원(103) 등이 있을 수 있다.The log collecting unit 110 collects log information from a plurality of information collecting sources (various unit security equipments) that can be interlocked. The trace tracing apparatus of FIG. 1 is for analyzing the government outflow from the inside, not from the outside. Therefore, the log collecting unit 110 collects log information related to outbound packets of heterogeneous outgoing packets from the internal network, rather than an audit log for inbound packets coming into the internal network through the Internet, As a collection target. As the information collection sources, there may be an internal information collection source 101, an internal / customer common collection source 102, and a customer information collection source 103.

정보 수집원을 예시하면, e-DRM 솔루션, 정책변경관리 시스템, 인사정보 시스템(내부 사용자 인사정보 관리 시스템), 유출감사 시스템, 고객정보 전송관리 시스템, 매체제어 솔루션, 이메일 모니터링 시스템, 네트워크 접근제어 시스템, VPN(virtual private network), 안티바이러스 솔루션, 비즈니스 룰 엔진 등이 있다. 각각의 솔루션이나 시스템은 운용사나 제작사, 보안회사 등이 자체 개발한 제품군일 수도 있고, 공용화/표준화가 이루어진 제품군일 수도 있다.Examples of information sources include e-DRM solutions, policy change management systems, human resource information systems (internal user information management systems), outflow auditing systems, customer information transmission management systems, media control solutions, Systems, virtual private networks (VPNs), antivirus solutions, and business rule engines. Each solution or system may be a product group developed by a management company, a manufacturer, a security company, etc., or may be a product group that is shared / standardized.

각 보안장비로부터 수집되는 로그정보의 예를 살펴보면 다음과 같다.An example of log information collected from each security device is as follows.

e-DRM 솔루션은 e-DRM 솔루션 로그(사용자 e-DRM 솔루션 활용 로그), 관리자 e-DRM 솔루션 로그(관리자 권한 수행 로그), 보안폴더 사용로그, e-DRM 솔루션 매체사용로그, 로그인정보 로그, 구버전 e-DRM 솔루션 로그인정보 로그 등을 제공한 다.e-DRM solution consists of e-DRM solution log (user e-DRM solution application log), administrator e-DRM solution log (administrator authorization log), security folder use log, e-DRM solution media use log, And an old e-DRM solution login information log.

정책변경 관리 시스템은 PC 반출입 승인 로그, 장치제어 변경승인 로그, e-DRM 솔루션 해제권한 승인로그, 네트워크 접근제어 시스템 예외자 승인로그 등을 제공한다. 인사정보 시스템은 인사정보 로그(예컨대, 사원번호, 사원이름, 부서코드, 소속), 부서로그(예컨대, 부서코드, 부서명, 상위부서코드) 등을 제공한다.The policy change management system provides a PC import / export approval log, a device control change approval log, an e-DRM solution approval log, and a network access control system anomaly approval log. The personnel information system provides a personnel information log (e.g., employee number, employee name, department code, affiliation), a department log (e.g., department code, department name, upper department code)

유출감사 시스템은 유출감사시스템 사용자정보 로그, 대리점 매체사용로그, 웹접속 로그, IP 변경 시도 로그 등이고, 고객정보 전송관리 시스템은 정보전송 다운로드 로그, 고객정보 파기로그 등을 제공한다.The outflow audit system includes an outflow audit system user information log, a reseller medium use log, a web access log, and an IP change attempt log. The customer information transmission management system provides an information transmission download log and a customer information destruction log.

매체제어 솔루션은 매체사용 로그 등을 제공하고, 이메일 모니터링 시스템은 정보전송 로그, 정보전송 첨부파일로그 등을 제공하며, 네트워크 접근제어 시스템은 인증 IP 로그, 무결성 로그 등을 제공한다.The media control solution provides the media usage log and the e-mail monitoring system provides the information transmission log and the information transmission attachment log. The network access control system provides the authentication IP log and the integrity log.

VPN은 VPN 로그 등의 정보를, 안티 바이러스 솔루션은 바이러스 로그 등의 정보를, 비즈니스 룰 엔진은 룰 탐지결과 로그, 룰 탐지결과 상세로그 등을 각각 제공한다.The VPN provides information such as the VPN log, the antivirus solution provides information such as the virus log, the business rule engine provides the rule detection result log, and the rule detection result detailed log, respectively.

1차 로그 상관분석부(120)는 로그 수집부(110)에서 수집된 이기종 간의 다양한 로그정보를 경우(case) 별로 조합하여 정보유출 여부나 그 징후를 분석하기 위한 기준이 되는 단위 규칙(rule)들을 도출한다.The primary log correlation analyzing unit 120 combines various kinds of log information of different kinds collected in the log collecting unit 110 according to each case to form a unit rule that is a criterion for analyzing information leakage or its symptoms. Respectively.

2차 규칙 상관분석부(130)는 1차 로그 상관분석부(120)에서 도출된 복수의 규칙을 대상으로 규칙 간 상관분석 기법을 적용함으로써 정보유출 여부 판단의 근거가 되는 심각도 지수를 결정한다.The second order regular correlation analyzing unit 130 determines a severity index as a basis for judging whether information leakage occurs by applying an inter-rule correlation analysis technique to a plurality of rules derived from the primary log correlation analyzing unit 120.

2차 규칙 상관분석부(130)에는 규칙 기반 상관분석 기법을 적용하기 위한 영역별 규칙 분류부(131)와 영역 기반 상관분석부(132)가 포함될 수 있다.The second order regular correlation analyzing unit 130 may include a region-based rule classifying unit 131 and a region-based correlation analyzing unit 132 for applying a rule-based correlation analysis technique.

영역별 규칙 분류부(131)는 복수의 규칙을 영역별로 분류하여 그룹화한다. 예컨대, 영역별 규칙 분류부(131)는 복수의 규칙을 보안환경 위반 영역, 정보유출 영역, 인력 영역의 3종류 영역으로 분류할 수 있다.The region-by-region rule classifying unit 131 classifies a plurality of rules into regions and groups them. For example, the area rule classifying unit 131 can classify a plurality of rules into three types of areas: a security environment violation area, an information outflow area, and a manpower area.

영역 기반 상관분석부(132)는 영역별 규칙 분류부(131)에서 그룹화된 규칙 간의 상관분석을 통해 심각도 지수를 결정한다. 여기서, 심각도 지수는 탐지된 규칙들의 개수, 혹은 규칙들이 탐지된 영역, 혹은 시나리오에 기반하여 미리 정의된 시나리오의 규칙 집합과 매칭되는 증적이 탐지되는지 여부 등을 근거로, 정보유출 징후가 확실하다고 판단되는 정도에 따라 결정될 수 있다.The region-based correlation analyzing unit 132 determines a severity index through correlation analysis between the grouped rules in the region-specific rule classifying unit 131. [ Here, the severity index is calculated based on the number of detected rules, the area where the rules are detected, or whether a match is detected with a rule set of a predefined scenario based on the scenario, Can be determined according to the degree.

예컨대, 영역 기반 상관분석부(132)는 동일인이 영역에 관계없이 2가지 이상의 규칙에 탐지되는 경우 심각도 3, 동일인이 보안환경 위반 영역과 정보유출 영역에 탐지되는 경우 심각도 3보다 대응 레벨이 높은 심각도 2, 동일인이 3종류 영역에 모두 탐지되는 경우 심각도 2보다 대응 레벨이 높은 심각도 1로 분석할 수 있다.For example, if the same person is detected in two or more rules regardless of the region, the region-based correlation analyzing unit 132 may determine the severity 3, the severity of the same person is higher than the severity 3 in the security environment violation region and the information leakage region, 2, if the same person is detected in all three areas, it can be analyzed as a severity 1 with a higher level of correspondence than the severity 2.

정보유출 징후가 확실하다고 판단되는 정도에 따라 심각도 1,2,3으로 분류가 가능하며, 심각도 지수가 3, 2, 1로 높아질수록 정보유출 위험도가 높아지므로, 사용자의 대응 레벨이 높아져야 한다.The severity index is 3, 2, and 1, and the risk of information leakage increases, so the level of user response should be higher.

또한, 2차 규칙 상관분석부(130)는 시나리오 기반의 상관분석 기법을 적용하기 위한 시나리오 등록부(133)와 시나리오 기반 상관분석부(134)를 포함할 수 있 다. 시나리오 등록부(133)는 심각도 지수를 정하는 시나리오 규칙 집합을 미리 정의한다. 시나리오 기반 상관분석부(134)는 시나리오 등록부에 정의된 시나리오 규칙 집합의 실행이 탐지되는 경우, 탐지된 시나리오 규칙 집합에 따라 심각도를 분석한다.The second order regular correlation analyzing unit 130 may include a scenario registering unit 133 and a scenario based correlation analyzing unit 134 for applying a scenario-based correlation analysis technique. The scenario registering unit 133 predefines a scenario rule set that defines a severity index. The scenario-based correlation analyzing unit 134 analyzes the severity according to the detected scenario rule set when the execution of the scenario rule set defined in the scenario registering unit is detected.

2차 규칙 상관분석부(130)는 규칙 기반 상관분석 기법과 시나리오 기반의 상관분석 기법을 단독으로, 혹은 통합적으로 적용하여 내부망에서 인가된 사용자들의 비정상 업무 패턴, 이상징후, 정보유출 여부 등을 판별하기 위한 심각도 지수를 분석할 수 있다.The secondary rule correlation analyzing unit 130 applies the rule-based correlation analysis technique and the scenario-based correlation analysis technique alone or in an integrated manner to detect abnormal business patterns, abnormal symptoms, information leakage, etc. of authorized users in the internal network The severity index for discrimination can be analyzed.

예컨대, 두 가지 기법을 통합적으로 적용하여 정보유출 여부를 분석하고자 하는 경우, 2차 규칙 상관분석부(130)는 1차 로그 상관분석부(120)를 통해 도출된 복수의 규칙을 영역별로 분류하여 그룹화한 후, 규칙 간 상관분석 기법을 적용하여 탐지되는 규칙들이 속해있는 영역의 개수가 많을수록 심각도 지수를 높게 분석한다. 아울러, 시나리오 기반 상관분석 기법을 적용하여 탐지되는 규칙들이 미리 정의된 시나리오의 규칙 그룹과 일치하는 경우 규칙 간 상관분석 기법의 경우보다 더 높은 심각도 지수를 적용한다.For example, when the two schemes are integrally applied to analyze information leakage, the secondary rule correlation analyzing unit 130 classifies a plurality of rules derived through the primary log correlation analyzing unit 120 into regions After grouping, the correlation analysis method is used to analyze the severity index as the number of detected regions increases. In addition, if the detected rules are consistent with the rule group of the predefined scenario by applying the scenario-based correlation analysis technique, a higher severity index is applied than the case of the inter-rule correlation analysis technique.

이를 보다 상세하게 설명하면 다음과 같다.This will be described in more detail as follows.

규칙 간/시나리오 기반 상관분석을 통한 정보유출 심각도를 분석하고, 분석 결과에 따른 정책을 수립하기 위하여, 2차 규칙 상관분석부(130)는 1차 로그 상관분석부(120)에서 도출된 규칙들을 보안환경위반 영역, 정보유출 영역, 인력 영역의 3가지 영역으로 분류한다.In order to analyze the information leakage severity through the inter-rule / scenario-based correlation analysis and to establish a policy according to the analysis result, the secondary rule correlation analyzing unit 130 analyzes the rules derived from the primary log correlation analyzing unit 120 Security environment violation area, information leakage area, and manpower area.

그리고, 영역에 관계없이 2개 이상의 규칙 실행이 탐지된 경우 1개의 규칙보다 심각도 지수를 더 높게 설정한다(규칙 간 상관분석 기법 1). 보안환경 위반 영역과 정보유출 영역의 규칙이 탐지된 경우에는 심각도 지수를 '규칙 간 상관분석 기법 1'보다 심각도 지수가 더 높고(규칙 간 상관분석 기법 2), 보안환경 위반 영역과 정보유출 영역, 인력 영역 모두에서 규칙이 탐지된 경우는 '규칙 간 상관분석 기법 2'보다 심각도 지수가 더 높아진다(규칙 간 상관분석 기법 3).If two or more rule runs are detected regardless of the region, the severity index is set to be higher than one rule (inter-rule correlation analysis technique 1). When the rules of the security environment violation area and the information leakage area are detected, the severity index is higher than the 'inter-rule correlation analysis technique 1' (correlation analysis technique 2), and the security environment violation area and information leakage area, When the rule is detected in all the manpower domains, the severity index is higher than the 'inter-rule correlation analysis technique 2' (inter-rule correlation analysis technique 3).

시나리오 기반의 상관분석 기법은 회사의 내부망에서 운영하고 있는 보안 솔루션(정보 수집원)의 정보를 기반으로, 이러한 보안 솔루션을 우회하여 정보를 유출할 수 있는 시나리오를 사전 정의하고, 정의된 시나리오에 관련된 정보가 탐지 될 수 있도록 규칙의 조합을 통해 시나리오를 구현하다. 해당 기법에 따라 규칙 실행이 탐지되는 경우에는, '규칙 간 상관분석 기법 3'보다 더 높은 심각도 지수가 설정된다.Scenario-based correlation analysis technique is based on the information of the security solution (information source) operated in the internal network of the company, predefines scenarios in which information can be leaked by bypassing such security solution, Implement scenarios through a combination of rules so that relevant information can be detected. When rule execution is detected according to the technique, a higher severity index than the inter-rule correlation analysis technique 3 is set.

성격별 규칙 분류부(140)는 1차 로그 상관분석부(120)와 연동하여, 탐지되는 단위 규칙을 기반으로 한 위험수준의 레벨에 따라 정보유출 대응 프로세스가 수행될 수 있도록 복수의 규칙을 정보유출 대응 프로세스에 준하여 성격별로 분류한다. 예컨대, 성격별 규칙 분류부(140)는 복수의 규칙을 정보유출 사전 예방조치 관련 규칙, 정보유출 징후 모니터링 관련 규칙, 정보유출 탐지 관련 규칙으로 분류할 수 있다. 성격별 규칙 분류부(140)는 경우에 따라 생략할 수도 있고, 해당 분석 결과를 참조하여 2차 규칙 상관분석부(130)의 분석 결과를 보강하기 위하여 2차 규칙 상관분석부(130)와 함께 사용할 수도 있다.The personality-based rule classifying unit 140 interlocks with the primary log correlation analyzing unit 120 to detect a plurality of rules so that the information leakage countermeasure process can be performed according to the level of the risk level based on the detected unit rule Classify by personality according to spill response process. For example, the personality-based rule classifier 140 may classify a plurality of rules into an information leakage precautionary measure-related rule, an information leakage indication monitoring-related rule, and an information leakage detection-related rule. The personality-based rule classifier 140 may be omitted in some cases, and may be associated with the secondary rule correlation analyzer 130 in order to enhance the analysis result of the secondary rule correlation analyzer 130 with reference to the analysis result It can also be used.

도 2는 본 발명의 일 실시예에 따른 정보보안을 위한 증적추적 방법의 흐름도이고, 도 3 내지 도 5는 도 2의 일부 단계를 설명하기 위한 참조도이다.FIG. 2 is a flowchart of a trace tracing method for information security according to an embodiment of the present invention, and FIGS. 3 to 5 are reference views for explaining some steps of FIG.

먼저, 증적추적 장치는 복수의 정보 수집원으로부터 로그정보를 수집한다(S110). 여기서, 수집 대상이 되는 로그정보는 내부망에서 유출되는 이기종 간의 아웃바운드 패킷에 관한 정보이다.First, the trace tracing apparatus collects log information from a plurality of information collecting sources (S110). Here, the log information to be collected is information on outbound packets of different types flowing out from the internal network.

다음으로, 증적추적 장치는 수집된 이기종 간의 로그정보를 경우 별로 조합하여 복수의 규칙을 도출한다(S120).Next, the trail tracking device derives a plurality of rules by combining the collected heterogeneous log information for each case (S120).

도 3은 단위 규칙들을 도출하기 위한 프로세스를 예시한 도면이다. 예컨대, 증적추적 장치는 인프라 환경에서 정보유출이 가능한 경우를 유추하여 경우 별로 구분한 후, 정보 수집원으로부터 수집된 정보를 조합(분석)하여 각각의 경우를 만족할 수 있는 규칙들을 도출한다. 이러한 과정을 통해, 도 3의 우측 표와 같이, '경우 1'부터 '경우 46'까지 총 46 종류의 단위 규칙을 도출할 수 있다.Figure 3 is a diagram illustrating a process for deriving unit rules. For example, the trace tracing system divides the cases where information leakage is possible in the infrastructure environment into cases, and then combines (analyzes) the information collected from the information gathering source to derive rules that can satisfy each case. Through this process, as shown in the right table of FIG. 3, 46 kinds of unit rules can be derived from 'Case 1' to 'Case 46'.

이후, 증적추적 장치는 단위 규칙을 기반으로 규칙 위반 여부, 정도 등을 탐지함으로써 정보유출과 관련한 위험수준을 인식하고, 인식된 위험수준의 레벨에 따라 정보유출 대응 프로세스가 수행될 수 있도록 복수의 규칙을 정보유출 대응 프로세스에 준하여 성격별로 분류한다(S130).Thereafter, the trace tracing device recognizes the risk level related to the information leakage by detecting whether or not the rule violation is based on the unit rule, and recognizes a plurality of rules (S130) in accordance with the information leakage process.

도 4는 S120 과정으로부터 도출된 복수의 규칙들을 성격별로 분류하는 S130 과정을 예시한 도면이다. 증적추적 장치는 규칙에 의한 분석 결과를 고려하여 정보유출 대응 프로세스에 준한 규칙 분류를 실행한다. 예컨대, S120에서 도출된 규칙에 의해 탐지된 데이터는 도 4에서와 같이, 정보유출 대응 프로세스에 준해서 정보 유출 사전 예방조치 관련 규칙, 정보유출 징후 모니터링 관련 규칙 및 정보유출 탐지 관련 규칙의 3가지로 분류될 수 있다.4 is a diagram illustrating an exemplary process of sorting a plurality of rules derived from the process of S120 by personality. The trace tracing device classifies the rules according to the information leakage response process in consideration of the analysis result by rule. For example, as shown in FIG. 4, the data detected by the rule derived in S120 are classified into three types according to the information leakage countermeasure process: information leakage precaution measure rules, information leak indication monitoring rules, and information leak detection rules Can be classified.

여기서, 사전 예방조치를 유도하는 규칙(예컨대, 16개)은 수집된 감사로그 형태가 유출관련 사전 예방 조치로 판단될 수 있는 규칙이고, 정보유출 징후를 모니터링하는 규칙(예컨대, 23개)은 감사로그 형태가 유출이라고 판단될 정도의 징후가 있는 규칙이다. 정보유출을 탐지하는 규칙(예컨대, 7개)은 정보유출 사고 발생 시 6하 원칙에 의해 언제, 어디서, 누가, 무엇을, 어떻게, 왜 탐지했는지에 대한 규칙이다.Here, the rule (for example, 16) for deriving the precautionary measure is a rule in which the collected audit log form can be judged as an outflow-related precautionary measure, and a rule (for example, 23) It is a rule with a sign that the log type is judged to be a leak. Rules for detecting information leakage (for example, seven) are rules for when, where, who, what, how, and why, in the event of an information leakage incident, by the six principles.

이와 같은 분류 결과(규칙단위 탐지내역)는 사용자 인터페이스에 반영됨으로써 사용자의 정보유출 대응 프로세스 관리를 유도할 수 있다. 예컨대, 도 4에서, 정의된 일정 개수의 규칙 중 '승인되지 않은 저장매체 사용자' 이외 수 개 이상의 규칙 위반에 의해 위험수준이 '상'으로 탐지된 경우, 증적추적 장치는 '정보유출 탐지'에 해당하는 분석 결과를 사용자 인터페이스에 반영하여 사용자가 대응할 수 있도록 한다.Such a classification result (rule unit detection history) is reflected in the user interface, thereby guiding the user in managing the information leakage handling process. For example, in FIG. 4, when the risk level is detected as 'up' due to violation of several rules other than 'unauthorized storage media user' among a certain defined number of rules, the trail tracking device detects 'information leak detection' And the corresponding analysis result is reflected in the user interface so that the user can respond.

이와 같이, 증적추적 장치는 규칙에서 탐지된 정보를 분석했을 경우 정보유출 가능성이 높은 정보를 도출하는 규칙이 속한 그룹에서 정보유출을 탐지하거나, 규칙의 결과에 따라 감사 등 실증 자료를 획득해야 할 근거를 제공할 수 있다.In this way, the trace tracing device can detect the information leakage from the group to which the rule that derives the information that is likely to leak information is included when analyzing the information detected in the rule, or the basis Can be provided.

단, S130 단계는 단위 규칙을 기준으로 정보유출 대응 수준을 결정하기 위한 것으로, 규칙 간 상관분석 기법(S150) 또는 시나리오 기반 상관분석 기법(S160)과 함께 적용될 수도 있고, 경우에 따라 생략될 수도 있다.However, the step S130 is for determining the information leakage correspondence level based on the unit rule, and may be applied together with the inter-rule correlation analysis technique (S150) or the scenario-based correlation analysis technique (S160) .

이후, 복수의 규칙을 대상으로 규칙 간/시나리오 기반 상관분석을 통해(S140) 정보유출 여부 판단의 근거가 되는 심각도 지수가 결정된다(S150, S160). 여기서, 규칙 간 상관분석 기법과 시나리오 기반 상관분석 기법은 실시 방식에 따라 선택적으로, 혹은 통합적으로 구현될 수 있다(S140).Then, a plurality of rules are subjected to correlation analysis based on inter-rule / scenario-based correlation (S140), and a severity index as a basis for determining the information leakage is determined (S150, S160). Here, the inter-rule correlation analysis technique and the scenario-based correlation analysis technique may be implemented selectively or integrally according to the implementation method (S140).

심각도 지수는 정보유출 징후가 확실하다고 판단되는 정도에 따라 분류되는 것으로, 탐지된 규칙들의 개수, 혹은 규칙들이 탐지된 영역, 혹은 시나리오에 기반하여 미리 정의된 시나리오의 규칙 집합과 매칭되는 증적이 탐지되는지 여부 등에 따라 결정될 수 있다.The severity index is classified according to the degree to which the information leak symptom is judged to be reliable. Whether the number of detected rules, the area where the rules are detected, or the signature matching the rule set of the predefined scenario based on the scenario is detected And the like.

예를 들어, 각 규칙은 보안환경 위반 영역, 정보유출 영역, 인력 영역의 3종류 영역으로 분류될 수 있다. 이때, 증적추적 장치는 동일인이 영역에 관계없이 2가지 이상의 규칙에 탐지되는 경우 심각도 3, 동일인이 보안환경 위반 영역과 정보유출 영역에 탐지되는 경우 심각도 3보다 대응 레벨이 높은 심각도 2, 동일인이 3종류 영역에 모두 탐지되는 경우 심각도 2보다 대응 레벨이 높은 심각도 1로 분석할 수 있다(S150). 혹은, 사용자가 영역에 관계없이 미리 정의된 시나리오의 규칙 집합에 의해 탐지되는 경우 탐지된 시나리오에 따라 심각도가 분석될 수 있다(S160).For example, each rule can be classified into three types of areas: a security environment violation area, an information leakage area, and a manpower area. If the same person is detected in two or more rules regardless of area, the tracing device will have severity level 3, if the same person is detected in security environment violation area and information leakage area, If all of them are detected in the type region, the severity 1 can be analyzed to have a higher level of correspondence than the severity 2 (S150). Alternatively, if the user is detected by a rule set of a predefined scenario regardless of the area, the severity may be analyzed according to the detected scenario (S160).

구체적으로, 증적추적 장치는 S120에서 도출된 복수의 규칙을 영역별로 분류하여 그룹화한 후(S151), 그룹화된 규칙 간의 상관분석을 통해 심각도 지수를 결정할 수 있다(S152 내지 S156). 혹은 복수의 규칙 중 특정 시나리오를 만족하는 규칙들의 집합을 정의하고(S161), 해당 시나리오를 만족하는 일련의 분석 규칙들이 탐 지되는 경우(S162), 그에 따른 심각도 지수를 분석 결과로서 사용자 인터페이스에 반영할 수 있다(S163).Specifically, the trail tracking apparatus classifies a plurality of rules derived in S120 into regions, groups them (S151), and determines a severity index through correlation analysis between the grouped rules (S152 to S156). Or a set of rules satisfying a specific scenario among a plurality of rules is defined (S161). If a series of analysis rules satisfying the scenario is detected (S162), the corresponding severity index is reflected in the user interface as an analysis result (S163).

도 5는 2차 심각도 분석 프로세스를 나타낸 도면으로서, 규칙 간 상관분석(또는 시나리오 기반의 상관분석)을 통한 정보유출 심각도별 탐지 정책의 수립 과정을 예시하고 있다.FIG. 5 is a diagram illustrating a secondary severity analysis process, illustrating the process of establishing a detection policy according to information leakage severity through inter-rule correlation analysis (or scenario-based correlation analysis).

도 5에서, 증적추적 장치는 복수의 규칙들을 영역별로 분류하여 그룹화한 후, 규칙 간 상관분석 기법을 적용하여 탐지되는 규칙들이 속해있는 영역의 개수가 많을수록 심각도 지수를 높게 분석하고 있다. 아울러, 시나리오 기반 상관분석 기법을 적용하여 탐지되는 규칙들이 미리 정의된 시나리오의 규칙 그룹과 일치하는 경우 규칙 간 상관분석 기법의 경우보다 더 높은 심각도 지수를 적용하고 있다.In FIG. 5, the trail tracking apparatus classifies a plurality of rules into regions, groups them, and analyzes the severity index as the number of regions in which rules detected by applying correlation analysis between rules is larger. In addition, when the rules detected by applying the scenario-based correlation analysis method are consistent with the rule group of the predefined scenario, a higher severity index is applied than the inter-rule correlation analysis method.

당해 단계에서, 증적추적 장치는 S120 단계에서 도출된 46 종류의 분석 규칙 간의 상관분석을 통해 보다 정확하고 신뢰할 수 있는 정보유출 시나리오 기반 탐지 정책을 수립할 수 있다.At this stage, the trail tracking apparatus can establish a more accurate and reliable information leakage scenario-based detection policy through correlation analysis among the 46 kinds of analysis rules derived in step S120.

먼저, S120 단계의 1차 로그 상관분석 프로세스를 통해 도출된 46 종류의 분석 규칙을 대상으로 영역별 분류 체계가 수립된 후, 영역별 규칙 그룹화가 이루어진다(S151).First, a region classification scheme is established with respect to the 46 kinds of analysis rules derived through the primary log correlation analysis process in step S120, and then region rule grouping is performed (S151).

예컨대, 46종의 분석 규칙 중 PC 보안환경을 위반한 사항을 도출해 내는 규칙을 도출하여 그룹화함으로써 보안환경 위반 영역이 설정된다. 그리고, 46종의 분석 규칙 중 로컬 PC에서 다른 내부자의 PC로, 또는 외부자의 PC로 정보가 이동되는 환경에서 보안 위반이 이루어진 사항을 도출해 내는 규칙을 도출하여 그룹화함으로 써, 정보유출 영역이 설정된다. 마찬가지로, 46종의 분석 규칙 중 정보유출 가능성이 있는 모든 사용자를 대상으로, 특히 집중관리하고 모니터링 해야 할 인력을 찾아내는 규칙을 도출하여 그룹화함으로써 인력 영역이 설정된다.For example, among the 46 kinds of analysis rules, a rule for deriving a violation of the PC security environment is derived and grouped into a security environment violation area. An information leakage area is set by deriving and grouping rules for deriving security violation items in an environment in which information is moved from a local PC to another insider PC or an external PC among 46 kinds of analysis rules . Likewise, the manpower domain is set by deriving and grouping the rules for finding the manpower to be specifically managed and monitored, targeting all users who are likely to leak information out of the 46 kinds of analysis rules.

여기서, 보안환경 위반 영역의 규칙들(예컨대, 18개)은 사용자가 PC를 사용하면서 회사의 보안정책을 위반하는 행위를 했다고 판단하는 규칙이다. 예컨대, 필수 보안 소프트웨어 미 설치한 경우, 승인되지 않은 외부 저장장치를 사용한 경우, PC를 무단 반출하여 외부에서 사용한 경우 등이 있을 수 있다. 정보유출 영역의 규칙들(예컨대, 19개)는 사용자가 여러 매체(USB, CD-RW 등) 및 경로(이메일, 메신저 등)을 통해 정보유출 행위를 했다고 판단하는 규칙이다. 예컨대, 중요문서의 출력건수가 임계치를 초과한 경우, 업무 내/외 시간 과대 용량, 첨부파일 외부 송신, 중요 파일의 임계치 이상의 다운로드 한 경우 등이 있을 수 있다. 인력 영역의 규칙들(예컨대, 9개)로는 아웃소서, 퇴직예정자, 핵심 연구인력 등의 관심인력 관련 규칙이 있을 수 있다.Here, the rules (for example, 18) of the security environment violation area are rules that determine that the user has performed an operation violating the security policy of the company while using the PC. For example, there may be cases where essential security software is not installed, unauthorized external storage is used, a PC is unauthorized and used outside. The rules (for example, 19) of the information leakage area are rules that determine that the user has performed an information leakage operation through various media (USB, CD-RW, etc.) and paths (e-mail, instant messenger, etc.). For example, when the number of output of important documents exceeds the threshold value, there may be a case where the internal / external time excess capacity, external transmission of attachments, or downloading of critical files exceeds a threshold value. The rules of the manpower domain (eg, nine) may include interested personnel-related rules such as outsourcers, retirees, and core research personnel.

이후, 그룹화된 규칙 간의 상관분석을 통해 심각도 지수가 결정된다(S152 내지 S157). 예컨대, 도 5에서, 심각도 지수는 심각도 3, 심각도 2, 심각도 1, 시나리오 기반 심각도 1로 분류된다.Then, the severity index is determined through correlation analysis between the grouped rules (S152 to S157). For example, in FIG. 5, the severity index is classified as severity 3, severity 2, severity 1, and scenario-based severity 1.

46종의 규칙 중에서 동일인이 2개 이상의 규칙에 탐지된 경우(S156), 분석 결과는 심각도 3이 된다(S157). '심각도 3'은 동일한 사람이 영역에 관계없이 2개 이상의 규칙에 탐지된 경우로써 이러한 사용자는 집중 관리 대상자로 선정하여 지속적으로 모니터링 되어야 한다.If the same person is detected in two or more rules among 46 kinds of rules (S156), the analysis result becomes severity 3 (S157). 'Severity 3' is the case where the same person is detected in two or more rules regardless of the area, and such user should be selected as the user to be centrally managed and continuously monitored.

동일인이 2개 영역에서 탐지된 경우(S154), 예컨대, 보안환경 위반 영역에 속하는 규칙에서 탐지된 사람이 정보유출 영역에 속하는 규칙에도 탐지된 경우, 분석 결과는 심각도 2가 된다(S155). 여기서, '심각도 2'는 동일한 사람이 보안환경 위반 영역에 속하는 규칙에도 탐지되고 정보유출 영역에 속하는 규칙에도 탐지되는 경우로써, 이러한 사용자는 집중 관리 대상자로 선정하여야 하고, 실제로 유출된 정보가 고객 또는 내부정보가 포함되어 있는지 검증하는 절차를 수행하여야 한다.If the same person is detected in two areas (S154), for example, if the person detected in the rule belonging to the security environment violation area is also detected in the rule belonging to the information leakage area, the analysis result becomes severity 2 (S155). In this case, 'Severity 2' is a case where the same person is detected in a rule belonging to a security environment violation area and is also detected in a rule belonging to an information leakage area. Such a user should be selected as a user for concentration management, Procedures should be verified to verify that internal information is included.

동일인이 3개 영역에서 모두 탐지된 경우(S152), 예컨대, 보안환경 위반 영역에 속하는 규칙에서 탐지된 사람이 정보유출 영역에 속하는 규칙에서도 탐지되고, 인력 영역에 속하는 규칙에도 탐지되는 경우, 분석 결과는 심각도 1이 된다(S153). '심각도 1'은 동일한 사람이 보안환경 위반 영역과, 정보유출 영역, 인력 영역 모두에서 탐지되는 경우로써, 이는 모든 영역을 위반한 사항으로 정보유출이 시도 되었다고 신뢰할 수 있는 정도의 수준을 나타내는 것으로, 포렌직(Forensics) 등을 통한 정밀 업무 분석 등을 실시할 수 있는 근거를 제공한다.If the same person is detected in all three areas (S152), for example, if a person detected in a rule belonging to a security environment violation area is also detected in a rule belonging to an information leakage area, and a rule belonging to a manpower area is also detected, Becomes a severity 1 (S153). 'Severity 1' indicates that the same person is detected in both the security violation area, information leakage area, and manpower area. This indicates that the information leakage is attempted as a violation of all areas, And forensic analysis through forensics (Forensics).

시나리오 기반의 탐지가 이루어지는 경우(S162), 예컨대, 보안환경위반 영역, 정보유출 영역, 인력 영역 각각에 속하는 규칙으로 실제 정보유출이 가능한 경우를 고려하여 작성된 시나리오에 해당하는 규칙 집합에 의해 탐지되는 경우, 분석 결과는 시나리오 기반 심각도 1이 된다(S163). '시나리오 기반 심각도 1'은 시나리오 기반 규칙이 실제 업무 환경에서 정보가 유출 가능한 시나리오를 수립하고 해당 시나리오에 유출되는 정보가 탐지되도록 3가지 영역에 속하는 규칙의 조합으로 탐지되는 경우이다. 이는 정보유출이 시도 되었다고 신뢰할 수 있는 정도의 수준을 나타내는 것으로, 포렌직 등을 통한 정밀 업무 분석 등을 실시할 수 있는 근거를 제공한다.When a scenario-based detection is performed (S162), for example, detection is performed by a rule set corresponding to a scenario created considering the case where actual information leakage is possible in a rule belonging to each of security environment violation area, information leakage area, and manpower area , The analysis result becomes the scenario-based severity 1 (S163). 'Scenario-based severity 1' is a case where scenario-based rules are detected as a combination of rules belonging to three areas so that information can be leaked in real business environment and information leaked to the scenario is detected. This indicates the degree of confidence that information leakage has been attempted, and provides a basis for conducting precision work analysis through forensics and the like.

이후, 증적추적 장치는 규칙/시나리오에 대한 탐지 결과를 바탕으로 탐지된 이유를 명시함으로써 포렌직 근거로 활용할 수 있다. 규칙/시나리오에 의해 탐지되었다는 것은 궁극적으로 정책을 위반한 사항으로 정책 위반 상세 내역을 확인함으로써 정보유출 여부를 판단할 수 있다. 또한, 하나의 규칙/시나리오에 탐지된 경우 기간 개념을 적용하여 이전 또는 다른 시스템에서의 정보유출 관련 증적을 확인하여 실제 정보유출 여부를 판단할 수 있는 증적 자료를 제공할 수 있다.The tracer tracking device can then be used as a forensic basis by specifying the reason for the detection based on the detection result for the rule / scenario. Detection by rules / scenarios is ultimately a violation of the policy, and by checking the details of the policy violation, it can be judged whether or not the information is leaked. In addition, when a rule / scenario is detected, the concept of period can be applied to provide a traceability data to determine whether the information is leaked or not by confirming the information leakage related to a previous or another system.

상술한 본 발명의 바람직한 실시예에 따르면, 다음과 같은 효과들을 기대할 수 있다.According to the preferred embodiment of the present invention described above, the following effects can be expected.

첫째, 보안사고 발생 시 정확한 원인 분석을 통한 재발 방지 활동을 강화할 수 있다. 구체적으로, 6하 원칙에 의거 보안사고 유발자 및 유발 원인, 유출 경로에 대한 정확한 분석 활동을 수행하여 보안 사고에 대한 증적을 확보하여 책임 추궁 가능성을 확보할 수 있다. 또한, 이를 근거로 동일한 정보유출 사고가 재발하지 않도록 사후 조치 활동을 수행함으로써 재발을 방지하고, 정보 수집원에 대한 신규 정책/패턴 수립 근거로 활용함으로써, 정보유출 사고의 빈도를 줄일 수 있다.First, it is possible to reinforce the prevention of recurrence through accurate cause analysis in the event of a security incident. Specifically, it is possible to secure the possibility of misbehavior by ensuring the traceability of security incidents by carrying out accurate analysis activities on the cause of the accident, the cause of the accident, and the outflow route based on the Sixth Principles. Also, based on this, it is possible to reduce the frequency of information leakage accidents by preventing the recurrence by performing post-measures activities so that the same information leakage accident does not recur, and by utilizing it as a basis for establishing new policies / patterns for information gathering sources.

둘째, 아웃소싱 보안업무 수행인력에 대한 업무 패턴 모니터링을 강화할 수 있다. 즉, 보안상 허점이 될 수 있는 보안업무 수행인력에 대한 업무 수행 내역 모니터링 방안을 확보하고, 모니터링 강화에 대한 보안 의식을 제고할 수 있다.Second, it can strengthen the monitoring of work patterns on outsourcing security personnel. In other words, it is possible to monitor the performance of the security workforce, which may become a loophole in security, and to enhance the security consciousness for monitoring enhancement.

셋째, 증적을 근거로 하여 정보유출 여부를 판단하고 제시함으로 신뢰성 높 은 정보유출 경로 및 담당자를 식별할 수 있다.Third, it is possible to identify the information leakage path and the responsible person by judging and presenting information leakage based on the trace.

이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, You will understand.

따라서, 이상에서 기술한 실시예들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이므로, 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 하며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.Therefore, it should be understood that the above-described embodiments are provided so that those skilled in the art can fully understand the scope of the present invention. Therefore, it should be understood that the embodiments are to be considered in all respects as illustrative and not restrictive, The invention is only defined by the scope of the claims.

본 발명은 정보유출 탐지 및 통합로그 분석에 유용하게 적용할 수 있다.The present invention is useful for information leak detection and integrated log analysis.

본 발명의 정보보안을 위한 증적추적 장치 및 방법에 따르면, 이기종 간의 다양한 통합로그를 취합하여 유형별로 분류해 활용함으로써 보다 효율적으로 정보유출 탐지를 수행할 수 있고, 사용자들의 비정상적인 활동을 모니터링하여 이상징후를 포착하거나 정보유출을 식별하면 관련된 증적자료를 수집하여 정확한 근거를 제시할 수 있다.According to the trace tracing device and method for information security of the present invention, various integrated logs of different kinds are collected and classified according to types and utilized, so that information leakage can be detected more efficiently, abnormal activities of users are monitored, Or information leakage can be identified, the relevant evidence can be gathered to provide an accurate basis.

도 1은 본 발명의 일 실시예에 따른 정보보안을 위한 증적추적 장치의 개략적인 구성도이다.1 is a schematic block diagram of a trace tracing device for information security according to an embodiment of the present invention.

도 2는 본 발명의 일 실시예에 따른 정보보안을 위한 증적추적 방법의 흐름도이다.2 is a flowchart of a trace tracing method for information security according to an embodiment of the present invention.

도 3 내지 도 5는 도 2의 일부 단계를 설명하기 위한 참조도이다.Figs. 3 to 5 are reference views for explaining some steps of Fig. 2. Fig.

*도면의 주요부분에 대한 부호의 설명*Description of the Related Art [0002]

110: 로그 수집부 120: 1차 로그 상관분석부110: log collecting unit 120: primary log correlation analyzing unit

130: 2차 규칙 상관분석부 140: 성격별 규칙 분류부130: Second order regular correlation analyzing unit 140: Character classification rule unit

Claims (20)

복수의 정보 수집원으로부터 로그정보를 수집하는 로그 수집부;A log collecting unit collecting log information from a plurality of information collecting sources; 상기 로그 수집부에서 수집된 로그정보를 경우 별로 조합하여 복수의 규칙을 도출하는 1차 로그 상관분석부; 및A primary logarithmic correlation unit for deriving a plurality of rules by combining log information collected by the log collecting unit in each case; And 상기 1차 로그 상관분석부에서 도출된 상기 복수의 규칙을 대상으로 규칙 간 상관분석을 통해 정보유출 여부 판단의 근거가 되는 심각도 지수를 결정하는 2차 규칙 상관분석부를 포함하는 정보보안을 위한 증적추적 장치.And a second order correlation analyzing unit for determining a severity index as a basis for judging whether or not to leak the information through the inter-rule correlation analysis on the plurality of rules derived from the primary log correlation analyzing unit. Device. 제1항에 있어서, 상기 2차 규칙 상관분석부는,2. The apparatus according to claim 1, 상기 복수의 규칙을 영역별로 분류하여 그룹화한 후, 규칙 간 상관분석 기법을 적용하여 탐지되는 규칙들이 속해있는 영역의 개수가 많을수록 심각도 지수를 높게 분석하고, 시나리오 기반 상관분석 기법을 적용하여 탐지되는 규칙들이 미리 정의된 시나리오의 규칙 그룹과 일치하는 경우 상기 규칙 간 상관분석 기법의 경우보다 더 높은 심각도 지수를 적용하는 것을 특징으로 하는 정보보안을 위한 증적추적 장치.The plurality of rules are classified and grouped according to the regions, and then the severity index is analyzed as the number of regions in which the rules to be detected by applying the inter-rule correlation analysis technique is high, and the detected rules Is applied to a rule group of a predefined scenario, a higher severity index is applied than in the case of the inter-rule correlation analysis technique. 제1항에 있어서, 상기 2차 규칙 상관분석부는,2. The apparatus according to claim 1, 상기 복수의 규칙을 영역별로 분류하여 그룹화하는 영역별 규칙 분류부; 및A rule classifying unit for classifying the plurality of rules into regions and grouping the rules; And 상기 영역별 규칙 분류부에서 그룹화된 규칙 간의 상관분석을 통해 심각도 지수를 결정하는 영역 기반 상관분석부를 포함하는 정보보안을 위한 증적추적 장치.And a region-based correlation analyzer for determining a severity index through correlation analysis between the rules grouped in the region-specific rule classifier. 제3항에 있어서, 영역 기반 상관분석부는,4. The apparatus of claim 3, wherein the region- 탐지된 규칙들의 개수, 혹은 규칙들이 탐지된 영역, 혹은 시나리오에 기반하여 미리 정의된 시나리오의 규칙 집합과 매칭되는 증적이 탐지되는지 여부를 근거로, 정보유출 징후가 확실하다고 판단되는 정도에 따라 심각도 지수를 결정하는 것을 특징으로 하는 정보보안을 위한 증적추적 장치.Based on the number of detected rules, or the region where the rules are detected, or whether a match is detected with a rule set of a predefined scenario based on the scenario, the severity index Wherein the trace tracing device comprises: 제3항에 있어서, 상기 영역별 규칙 분류부는,4. The apparatus according to claim 3, 상기 복수의 규칙을 보안환경 위반 영역, 정보유출 영역, 인력 영역의 3종류 영역 중 어느 하나의 영역으로 분류하는 것을 특징으로 하는 정보보안을 위한 증적추적 장치.Wherein the plurality of rules are classified into one of three types of areas: a security environment violation area, an information outflow area, and a manpower area. 제5항에 있어서, 영역 기반 상관분석부는,6. The apparatus of claim 5, wherein the region- 동일인이 영역에 관계없이 2가지 이상의 규칙에 탐지되는 경우 심각도 3, 동일인이 보안환경 위반 영역과 정보유출 영역에 탐지되는 경우 심각도 3보다 대응 레벨이 높은 심각도 2, 동일인이 3종류 영역에 모두 탐지되는 경우 심각도 2보다 대응 레벨이 높은 심각도 1로 분석하는 것을 특징으로 하는 정보보안을 위한 증적추적 장치.If the same person is detected in two or more rules regardless of area, Severity 3, if the same person is detected in the security environment violation area and information leakage area, the severity level 2 is higher than the severity level 3, and the same person is detected in all three areas And a severity 1 with a higher level of correspondence than the severity 2. 제1항에 있어서, 상기 2차 규칙 상관분석부는,2. The apparatus according to claim 1, 심각도 지수를 정하는 시나리오 규칙 집합을 미리 정의하는 시나리오 등록부; 및A scenario registration unit that defines in advance a scenario rule set defining a severity index; And 상기 시나리오 등록부에 정의된 시나리오 규칙 집합의 실행이 탐지되는 경우 상기 시나리오 규칙 집합에 따라 심각도를 분석하는 시나리오 기반 상관분석부를 포함하는 정보보안을 위한 증적추적 장치.And a scenario-based correlation analyzer for analyzing the severity according to the scenario rule set when the execution of the scenario rule set defined in the scenario registration unit is detected. 제1항에 있어서,The method according to claim 1, 1차 로그 상관분석부와 연동하여, 탐지되는 단위 규칙을 기반으로 한 위험수준의 레벨에 따라 정보유출 대응 프로세스가 수행될 수 있도록 상기 복수의 규칙을 상기 정보유출 대응 프로세스에 준하여 성격별로 분류하는 성격별 규칙 분류부를 더 포함하는 정보보안을 위한 증적추적 장치.A plurality of rules are classified by personality according to the information leakage countermeasure process so that an information leakage countermeasure process can be performed according to the level of the risk level based on the detected unit rule in conjunction with the primary log correlation analysis unit And further comprising a separate rule classification unit. 제8항에 있어서, 상기 성격별 규칙 분류부는,The method according to claim 8, 상기 복수의 규칙을 정보유출 사전 예방조치 관련 규칙, 정보유출 징후 모니터링 관련 규칙, 정보유출 탐지 관련 규칙 중 어느 하나의 성격으로 분류하는 것을 특징으로 하는 정보보안을 위한 증적추적 장치.Wherein the plurality of rules are classified into one of a rule relating to an information leakage prevention measure, a rule relating to information leakage indication monitoring, and an information leakage detection related rule. 제1항에 있어서, 상기 로그 수집부는,The apparatus of claim 1, 내부망에서 유출되는 이기종 간의 아웃바운드 패킷에 관한 로그정보를 수집 대상으로 하는 것을 특징으로 하는 정보보안을 위한 증적추적 장치.And the log information about heterogeneous outbound packets flowing from the internal network is collected. 복수의 정보 수집원으로부터 로그정보를 수집하는 로그 수집 단계;A log collecting step of collecting log information from a plurality of information collecting sources; 상기 복수의 정보 수집원으로부터 수집된 로그정보를 경우 별로 조합하여 복수의 규칙을 도출하는 1차 로그 상관분석 단계; 및A primary logarithmic correlation step of deriving a plurality of rules by combining log information collected from the plurality of information collecting sources on a case-by-case basis; And 상기 복수의 규칙을 대상으로 규칙 간 상관분석을 통해 정보유출 여부 판단의 근거가 되는 심각도 지수를 결정하는 2차 규칙 상관분석 단계를 포함하는 정보보안을 위한 증적추적 방법.And a secondary rule correlation analysis step of determining a severity index as a basis for judging whether or not to leak the information through inter-rule correlation analysis on the plurality of rules. 제11항에 있어서, 상기 2차 규칙 상관분석 단계에서,12. The method of claim 11, wherein in the second order correlation analysis step, 상기 복수의 규칙을 영역별로 분류하여 그룹화한 후, 규칙 간 상관분석 기법을 적용하여 탐지되는 규칙들이 속해있는 영역의 개수가 많을수록 심각도 지수를 높게 분석하고, 시나리오 기반 상관분석 기법을 적용하여 탐지되는 규칙들이 미리 정의된 시나리오의 규칙 그룹과 일치하는 경우 상기 규칙 간 상관분석 기법의 경우보다 더 높은 심각도 지수를 적용하는 것을 특징으로 하는 정보보안을 위한 증적추적 방법.The plurality of rules are classified and grouped according to the regions, and then the severity index is analyzed as the number of regions in which the rules to be detected by applying the inter-rule correlation analysis technique is high, and the detected rules Is applied to a rule group of a predefined scenario, a higher severity index is applied than the case of the inter-rule correlation analysis technique. 제11항에 있어서, 상기 2차 규칙 상관분석 단계에서,12. The method of claim 11, wherein in the second order correlation analysis step, 상기 복수의 규칙을 영역별로 분류하여 그룹화한 후 그룹화된 규칙 간의 상관분석을 통해 심각도 지수를 결정하는 것을 특징으로 하는 정보보안을 위한 증적추적 방법.Wherein the plurality of rules are grouped according to areas, and the severity index is determined through correlation analysis between the grouped rules. 제13항에 있어서,14. The method of claim 13, 상기 심각도 지수는 정보유출 징후가 확실하다고 판단되는 정도에 따라 분류되는 것으로, 탐지된 규칙들의 개수, 혹은 규칙들이 탐지된 영역, 혹은 시나리오에 기반하여 미리 정의된 시나리오의 규칙 집합과 매칭되는 증적이 탐지되는지 여부에 따라 결정되는 것을 특징으로 하는 정보보안을 위한 증적추적 방법.The severity index is classified according to the degree to which the information leakage symptom is judged to be reliable. The number of detected rules or the area where the rules are detected, or a trace matching with a rule set of a predefined scenario based on the scenario is detected Wherein the method comprises the steps of: 제14항에 있어서,15. The method of claim 14, 상기 복수의 규칙은 보안환경 위반 영역, 정보유출 영역, 인력 영역의 3종류 영역 중 어느 하나의 영역으로 분류되는 것을 특징으로 하는 정보보안을 위한 증적추적 방법.Wherein the plurality of rules are classified into one of three kinds of areas: a security environment violation area, an information outflow area, and a manpower area. 제15항에 있어서, 상기 2차 규칙 상관분석 단계는,16. The method of claim 15, 동일인이 영역에 관계없이 2가지 이상의 규칙에 탐지되는 경우 심각도 3, 동일인이 보안환경 위반 영역과 정보유출 영역에 탐지되는 경우 심각도 3보다 대응 레벨이 높은 심각도 2, 동일인이 3종류 영역에 모두 탐지되는 경우 심각도 2보다 대응 레벨이 높은 심각도 1로 분석하는 것을 특징으로 하는 정보보안을 위한 증적추적 방법.If the same person is detected in two or more rules regardless of area, Severity 3, if the same person is detected in the security environment violation area and information leakage area, the severity level 2 is higher than the severity level 3, and the same person is detected in all three areas And a severity of 1 is higher than a severity of 2. 제12항에 있어서, 상기 2차 규칙 상관분석 단계는,13. The method of claim 12, 사용자가 영역에 관계없이 미리 정의된 시나리오의 규칙 집합에 의해 탐지되는 경우 상기 탐지된 시나리오에 따라 심각도를 분석하는 것을 특징으로 하는 정보보안을 위한 증적추적 방법.Wherein the severity is analyzed according to the detected scenario if the user is detected by a rule set of a predefined scenario regardless of the area. 제12항에 있어서, 1차 로그 상관분석 단계 이후에,13. The method of claim 12, wherein after the primary log correlation analysis step, 탐지되는 단위 규칙을 기반으로 한 위험수준의 레벨에 따라 정보유출 대응 프로세스가 수행될 수 있도록 상기 복수의 규칙을 상기 정보유출 대응 프로세스에 준하여 성격별로 분류하는 단계를 더 포함하는 정보보안을 위한 증적추적 방법.Further comprising classifying the plurality of rules by their nature in accordance with the information leakage countermeasure process so that the information leakage countermeasure process can be performed according to the level of the risk level based on the detected unit rule, Way. 제18항에 있어서,19. The method of claim 18, 상기 복수의 규칙은 정보유출 사전 예방조치 관련 규칙, 정보유출 징후 모니터링 관련 규칙, 정보유출 탐지 관련 규칙 중 어느 하나의 성격으로 분류되는 것을 특징으로 하는 정보보안을 위한 증적추적 방법.Wherein the plurality of rules are classified into one of a rule relating to an information leakage precautionary measure, an information leakage indication monitoring rule, and an information leakage detection related rule. 제12항에 있어서, 상기 로그 수집 단계에서,13. The method according to claim 12, wherein, in the log collecting step, 수집 대상이 되는 로그정보는 내부망에서 유출되는 이기종 간의 아웃바운드 패킷에 관한 정보인 것을 특징으로 하는 정보보안을 위한 증적추적 방법.Wherein the log information to be collected is information on heterogeneous outbound packets flowing out from the internal network.
KR1020090039617A 2009-05-07 2009-05-07 Tracking trail apparatus for information security and method thereof KR101399326B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090039617A KR101399326B1 (en) 2009-05-07 2009-05-07 Tracking trail apparatus for information security and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090039617A KR101399326B1 (en) 2009-05-07 2009-05-07 Tracking trail apparatus for information security and method thereof

Publications (2)

Publication Number Publication Date
KR20100120798A true KR20100120798A (en) 2010-11-17
KR101399326B1 KR101399326B1 (en) 2014-06-03

Family

ID=43406236

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090039617A KR101399326B1 (en) 2009-05-07 2009-05-07 Tracking trail apparatus for information security and method thereof

Country Status (1)

Country Link
KR (1) KR101399326B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017095017A1 (en) * 2015-11-30 2017-06-08 (주)엠더블유스토리 System and method for recognizing business information leakage situation, and storage medium including program recorded therein for processing said method
KR20180039372A (en) * 2016-10-10 2018-04-18 주식회사 윈스 The Realtime Trail Data Collector apparatus about Network Intrusion Detection and method thereof
US10164839B2 (en) 2014-03-31 2018-12-25 Lac Co., Ltd. Log analysis system
KR101964412B1 (en) * 2018-12-12 2019-04-01 주식회사 모비젠 Method for diagnosing anomaly log of mobile commmunication data processing system and system thereof

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100458816B1 (en) * 2001-09-11 2004-12-03 주식회사 이글루시큐리티 Method for real-time auditing a Network

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10164839B2 (en) 2014-03-31 2018-12-25 Lac Co., Ltd. Log analysis system
WO2017095017A1 (en) * 2015-11-30 2017-06-08 (주)엠더블유스토리 System and method for recognizing business information leakage situation, and storage medium including program recorded therein for processing said method
KR20180039372A (en) * 2016-10-10 2018-04-18 주식회사 윈스 The Realtime Trail Data Collector apparatus about Network Intrusion Detection and method thereof
KR101964412B1 (en) * 2018-12-12 2019-04-01 주식회사 모비젠 Method for diagnosing anomaly log of mobile commmunication data processing system and system thereof

Also Published As

Publication number Publication date
KR101399326B1 (en) 2014-06-03

Similar Documents

Publication Publication Date Title
Lee et al. An effective security measures for nuclear power plant using big data analysis approach
Walker-Roberts et al. A systematic review of the availability and efficacy of countermeasures to internal threats in healthcare critical infrastructure
CN107577939B (en) Data leakage prevention method based on keyword technology
KR101548138B1 (en) System and Method for Tracing Signature Security Information
WO2019220363A1 (en) Creation and verification of behavioral baselines for the detection of cybersecurity anomalies using machine learning techniques
KR101399326B1 (en) Tracking trail apparatus for information security and method thereof
CN116614277A (en) Network security supervision system and method based on machine learning and abnormal behavior analysis
KR20110110431A (en) Apparatus for information security and method thereof
CN112688971B (en) Function-damaged network security threat identification device and information system
Khan et al. Towards augmented proactive cyberthreat intelligence
US9648039B1 (en) System and method for securing a network
Qassim et al. Strategy to Reduce False Alarms in Intrusion Detection and Prevention Systems.
Mascetti et al. EPIC: a methodology for evaluating privacy violation risk in cybersecurity systems
US11575702B2 (en) Systems, devices, and methods for observing and/or securing data access to a computer network
Palko et al. Determining Key Risks for Modern Distributed Information Systems.
Alharbi A qualitative study on security operations centers in saudi arabia: challenges and research directions
Hakkoymaz Classifying Database Users for Intrusion Prediction and Detection in Data Security
Bourekkache et al. Computer and Network Security: Ontological and Multi-agent System for Intrusion Detection.
Kim et al. A study on analyzing risk scenarios about vulnerabilities of security monitoring system: focused on information leakage by insider
Brignoli et al. A distributed security tomography framework to assess the exposure of ICT infrastructures to network threats
Gheorghică et al. A new framework for enhanced measurable cybersecurity in computer networks
Vuppala et al. Intrusion Detection & Prevention Systems-Sourcefire Snort
KR101498647B1 (en) Security Management System And Security Management Method Using The Same
US20230396640A1 (en) Security event management system and associated method
Zhou Risks in the Design and Analysis of Accounting Systems

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180427

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190422

Year of fee payment: 6