KR20100120798A - Tracking trail apparatus for information security and method thereof - Google Patents
Tracking trail apparatus for information security and method thereof Download PDFInfo
- Publication number
- KR20100120798A KR20100120798A KR1020090039617A KR20090039617A KR20100120798A KR 20100120798 A KR20100120798 A KR 20100120798A KR 1020090039617 A KR1020090039617 A KR 1020090039617A KR 20090039617 A KR20090039617 A KR 20090039617A KR 20100120798 A KR20100120798 A KR 20100120798A
- Authority
- KR
- South Korea
- Prior art keywords
- rules
- information
- rule
- detected
- log
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/105—Human resources
Abstract
Description
본 발명은 정보보안을 위한 증적추적 장치 및 방법에 관한 것으로, 더욱 상세하게는, 로그정보를 이용해 인가된 사용자들의 비정상적인 활동을 모니터링함으로써 내부망으로부터의 정보유출을 탐지하고, 방지대책을 도출할 수 있는 정보보안을 위한 증적추적 장치 및 방법에 관한 것이다.The present invention relates to a trace tracing apparatus and method for information security, and more particularly, it relates to a trace tracing apparatus and method for information security, and more particularly to a trace tracing apparatus and method for detecting information leakage from an internal network by monitoring abnormal activity of authorized users using log information, The present invention relates to a trace tracing device and method for information security.
정보유출 탐지는 내부자에 의한 기업의 내부정보유출을 사전에 방지하기 위한 것으로, 정보유출 탐지를 목적으로 e-DRM(enterprise digital rights management), 매체제어 솔루션, 메일 모니터링 등의 다양한 기술이 제안되어 왔다. 여기서, 기업의 내부정보는 상당히 광범위한 개념으로 광의적으로 해석한다면 '기업 내에서 사용자에 의해 생성된 모든 정보'로 볼 수 있으며, 보다 소극적으로 해석한다면 '기업 내에서 사용자에 의해 생성된 정보 중 대외비급 이상의 성격을 포함하는 문서'라고 볼 수 있다.Information leakage detection is intended to prevent internal information leakage by insiders, and various technologies such as e-DRM (enterprise digital rights management), media control solution, and mail monitoring have been proposed for the purpose of information leak detection . Here, the internal information of a company can be viewed as' all the information generated by users in the enterprise 'if it is interpreted broadly as a broad concept, and if it is interpreted more passively,' external information A document containing the character of a non-overtrade ".
그런데, 이러한 의미의 내부정보에 대하여, 단순히 PC(personal computer) 등의 사용자 단말 단에서의 정보 흐름을 통제하고 분석하는 매체제어 솔루션이나e-DRM, 혹은 메일로 전송되는 데이터에 대해서만 정보유출을 방지하는 메일 모니터링과 같은 제품군을 통해서만 정보유출 탐지를 수행하기에는 어느 정도 한계가 있었다.However, with respect to the internal information in this sense, it is necessary to prevent the information leakage only for the media control solution or e-DRM for controlling and analyzing the information flow at the user terminal of the PC (personal computer) There is a limit to the extent to which information leakage detection can be performed only through a product family such as e-mail monitoring.
한편, 매체제어 솔루션 제품군, e-DRM 제품군, 메일 모니터링 제품군, 데이터베이스 모니터링 제품군 등 다양한 단위 보안제품의 로그를 통합하여, 통합로그를 정보유출 탐지에 이용하는 종래 기술이 존재한다. 그러나 해당 종래 기술은 통합로그에서 단순히 조건에 위반된 사항을 분석하여 제시함으로써 정보유출을 알리고, 재발 방지 조치를 이행하도록 한다. 이러한 기술은 정보유출 여부를 탐지하는 분석 방법이 얼마나 효과적이냐에 따라 성능이 매우 달라질 수 있으며, 원하는 수준의 성능을 달성하기에는 역부족인 실정이다.On the other hand, there is a conventional technology that integrates logs of various unit security products such as a media control solution product family, an e-DRM product family, a mail monitoring product family, and a database monitoring product family, and uses the integrated log for information leakage detection. However, the related art discloses information leakage by analyzing and presenting the violation of the condition simply in the integrated log, and implements the prevention of the recurrence prevention. This technology can be very different in performance depending on how effective the analysis method for detecting information leakage is, and it is not enough to achieve the desired level of performance.
또한, 종래의 통합로그 분석 방법은 대부분 시스템 로그를 수집하거나 또는 외부로부터 침입을 탐지하는 보안제품의 로그정보를 통합하여 분석하는 체계(ex. 방화벽, IDS, IPS, Secure OS 등)를 이루고 있다. 그러나, 이런 종류의 통합로그 분석 시스템은 내부정보에 대한 로그정보를 수집하여 분석하는 체계가 구축되어 있지 않다는 한계가 있다.In addition, most of the conventional integrated log analysis methods are systems (eg, firewalls, IDS, IPS, Secure OS, etc.) for collecting system logs or analyzing log information of security products for detecting intrusions from the outside. However, this type of integrated log analysis system has a limitation in that a system for collecting and analyzing log information about internal information is not constructed.
본 발명이 해결하고자 하는 기술적 과제는 이기종 간의 다양한 통합로그를 취합하여 유형별로 분류해 활용함으로써 보다 효과적이고 정확하게 정보유출 탐지를 수행할 수 있는 정보보안을 위한 증적추적 장치 및 방법을 제공하는 것이다.The technical problem to be solved by the present invention is to provide a trace tracing apparatus and method for information security which can collect information of various kinds of heterogeneous logs and classify them and classify them and use them more effectively and accurately.
본 발명이 해결하고자 하는 다른 기술적 과제는 사용자들의 비정상적인 활동을 모니터링하고, 모니터링 결과 이상징후가 포착되거나 정보유출이 식별되면 관련된 증적자료를 수집하여 정확한 근거를 제시할 수 있는 정보보안을 위한 증적추적 장치 및 방법을 제공하는 것이다.Another technical problem to be solved by the present invention is to provide a trace tracing device for information security that monitors abnormal activity of users and collects relevant trace data when an abnormal symptom of the monitoring result is captured or information leakage is identified, And a method thereof.
본 발명이 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The technical objects to be achieved by the present invention are not limited to the technical matters mentioned above, and other technical subjects which are not mentioned can be clearly understood by those skilled in the art from the following description. There will be.
본 발명에 따른 정보보안을 위한 증적추적 장치는, 복수의 정보 수집원으로부터 로그정보를 수집하는 로그 수집부; 상기 로그 수집부에서 수집된 로그정보를 경우 별로 조합하여 복수의 규칙을 도출하는 1차 로그 상관분석부; 및 상기 1차 로그 상관분석부에서 도출된 상기 복수의 규칙을 대상으로 규칙 간 상관분석을 통해 정보유출 여부 판단의 근거가 되는 심각도 지수를 결정하는 2차 규칙 상관분석부를 포함한다.A trail tracing apparatus for information security according to the present invention includes: a log collecting unit for collecting log information from a plurality of information collecting sources; A primary logarithmic correlation unit for deriving a plurality of rules by combining log information collected by the log collecting unit in each case; And a secondary rule correlation analyzing unit for determining a severity index as a basis for judging whether or not to leak the information through the inter-rule correlation analysis on the plurality of rules derived from the primary log correlation analyzing unit.
한편, 본 발명에 따른 정보보안을 위한 증적추적 방법은, 복수의 정보 수집 원으로부터 로그정보를 수집하는 로그 수집 단계; 상기 복수의 정보 수집원으로부터 수집된 로그정보를 경우 별로 조합하여 복수의 규칙을 도출하는 1차 로그 상관분석 단계; 및 상기 복수의 규칙을 대상으로 규칙 간 상관분석을 통해 정보유출 여부 판단의 근거가 되는 심각도 지수를 결정하는 2차 규칙 상관분석 단계를 포함한다.Meanwhile, a trace tracing method for information security according to the present invention includes: a log collecting step of collecting log information from a plurality of information collecting sources; A primary logarithmic correlation step of deriving a plurality of rules by combining log information collected from the plurality of information collecting sources on a case-by-case basis; And a secondary rule correlation analysis step of determining a severity index as a basis for judging whether or not to leak the information through inter-rule correlation analysis on the plurality of rules.
본 발명에 따른 정보보안을 위한 증적추적 장치 및 방법은, 이기종 간의 다양한 통합로그를 취합하여 유형별로 분류해 활용함으로써 보다 효과적이고 정확하게 정보유출 탐지를 수행할 수 있다.The apparatus and method for tracing information for security according to the present invention collects various kinds of integrated logs of different kinds and classifies them according to types, thereby making it possible to perform information leak detection more effectively and accurately.
또한, 본 발명에 따른 정보보안을 위한 증적추적 장치 및 방법은, 사용자들의 비정상적인 활동을 모니터링하고, 모니터링 결과 이상징후가 포착되거나 정보유출이 식별되면 관련된 증적자료를 수집하여 정확한 근거를 제시할 수 있다.In addition, the apparatus and method for tracing information for security according to the present invention can monitor abnormal activity of users and collect relevant tracing data when an abnormal symptom of a monitoring result is captured or an information leak is identified, .
이하에서는, 본 발명의 바람직한 실시예에 따른 정보보안을 위한 증적추적 장치 및 방법에 대하여 첨부된 도 1 내지 도 3을 참조하여 상세히 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, an apparatus and method for tracing a trace of information according to a preferred embodiment of the present invention will be described in detail with reference to FIGS. 1 to 3 attached hereto.
도 1은 본 발명의 일 실시예에 따른 정보보안을 위한 증적추적 장치의 개략적인 구성도이다.1 is a schematic block diagram of a trace tracing device for information security according to an embodiment of the present invention.
도 1을 참조하면, 본 발명의 일 실시예에 따른 증적추적 장치는 로그 수집 부(110), 1차 로그 상관분석부(120), 성격별 규칙 분류부(140), 2차 규칙 상관분석부(130)를 포함한다.1, the trail tracking apparatus according to an exemplary embodiment of the present invention includes a
로그 수집부(110)는 연동 가능한 복수의 정보 수집원(여러 가지의 단위 보안 장비들)으로부터 로그정보를 수집한다. 도 1의 증적추적 장치는 외부로부터의 침입이 아닌 내부로부터의 정부유출 분석을 위한 것이다. 그러므로, 이러한 로그 수집부(110)는 인터넷을 통해 내부망으로 침입해 들어오는 인바운드 패킷(inbound packet)에 대한 감사로그가 아닌, 내부망에서 유출되는 이기종 간의 아웃바운드 패킷(outbound packet)에 관한 로그정보를 수집 대상으로 한다. 정보 수집원으로는 내부정보 수집원(101), 내부/고객 공통 수집원(102), 고객정보 수집원(103) 등이 있을 수 있다.The
정보 수집원을 예시하면, e-DRM 솔루션, 정책변경관리 시스템, 인사정보 시스템(내부 사용자 인사정보 관리 시스템), 유출감사 시스템, 고객정보 전송관리 시스템, 매체제어 솔루션, 이메일 모니터링 시스템, 네트워크 접근제어 시스템, VPN(virtual private network), 안티바이러스 솔루션, 비즈니스 룰 엔진 등이 있다. 각각의 솔루션이나 시스템은 운용사나 제작사, 보안회사 등이 자체 개발한 제품군일 수도 있고, 공용화/표준화가 이루어진 제품군일 수도 있다.Examples of information sources include e-DRM solutions, policy change management systems, human resource information systems (internal user information management systems), outflow auditing systems, customer information transmission management systems, media control solutions, Systems, virtual private networks (VPNs), antivirus solutions, and business rule engines. Each solution or system may be a product group developed by a management company, a manufacturer, a security company, etc., or may be a product group that is shared / standardized.
각 보안장비로부터 수집되는 로그정보의 예를 살펴보면 다음과 같다.An example of log information collected from each security device is as follows.
e-DRM 솔루션은 e-DRM 솔루션 로그(사용자 e-DRM 솔루션 활용 로그), 관리자 e-DRM 솔루션 로그(관리자 권한 수행 로그), 보안폴더 사용로그, e-DRM 솔루션 매체사용로그, 로그인정보 로그, 구버전 e-DRM 솔루션 로그인정보 로그 등을 제공한 다.e-DRM solution consists of e-DRM solution log (user e-DRM solution application log), administrator e-DRM solution log (administrator authorization log), security folder use log, e-DRM solution media use log, And an old e-DRM solution login information log.
정책변경 관리 시스템은 PC 반출입 승인 로그, 장치제어 변경승인 로그, e-DRM 솔루션 해제권한 승인로그, 네트워크 접근제어 시스템 예외자 승인로그 등을 제공한다. 인사정보 시스템은 인사정보 로그(예컨대, 사원번호, 사원이름, 부서코드, 소속), 부서로그(예컨대, 부서코드, 부서명, 상위부서코드) 등을 제공한다.The policy change management system provides a PC import / export approval log, a device control change approval log, an e-DRM solution approval log, and a network access control system anomaly approval log. The personnel information system provides a personnel information log (e.g., employee number, employee name, department code, affiliation), a department log (e.g., department code, department name, upper department code)
유출감사 시스템은 유출감사시스템 사용자정보 로그, 대리점 매체사용로그, 웹접속 로그, IP 변경 시도 로그 등이고, 고객정보 전송관리 시스템은 정보전송 다운로드 로그, 고객정보 파기로그 등을 제공한다.The outflow audit system includes an outflow audit system user information log, a reseller medium use log, a web access log, and an IP change attempt log. The customer information transmission management system provides an information transmission download log and a customer information destruction log.
매체제어 솔루션은 매체사용 로그 등을 제공하고, 이메일 모니터링 시스템은 정보전송 로그, 정보전송 첨부파일로그 등을 제공하며, 네트워크 접근제어 시스템은 인증 IP 로그, 무결성 로그 등을 제공한다.The media control solution provides the media usage log and the e-mail monitoring system provides the information transmission log and the information transmission attachment log. The network access control system provides the authentication IP log and the integrity log.
VPN은 VPN 로그 등의 정보를, 안티 바이러스 솔루션은 바이러스 로그 등의 정보를, 비즈니스 룰 엔진은 룰 탐지결과 로그, 룰 탐지결과 상세로그 등을 각각 제공한다.The VPN provides information such as the VPN log, the antivirus solution provides information such as the virus log, the business rule engine provides the rule detection result log, and the rule detection result detailed log, respectively.
1차 로그 상관분석부(120)는 로그 수집부(110)에서 수집된 이기종 간의 다양한 로그정보를 경우(case) 별로 조합하여 정보유출 여부나 그 징후를 분석하기 위한 기준이 되는 단위 규칙(rule)들을 도출한다.The primary log
2차 규칙 상관분석부(130)는 1차 로그 상관분석부(120)에서 도출된 복수의 규칙을 대상으로 규칙 간 상관분석 기법을 적용함으로써 정보유출 여부 판단의 근거가 되는 심각도 지수를 결정한다.The second order regular
2차 규칙 상관분석부(130)에는 규칙 기반 상관분석 기법을 적용하기 위한 영역별 규칙 분류부(131)와 영역 기반 상관분석부(132)가 포함될 수 있다.The second order regular
영역별 규칙 분류부(131)는 복수의 규칙을 영역별로 분류하여 그룹화한다. 예컨대, 영역별 규칙 분류부(131)는 복수의 규칙을 보안환경 위반 영역, 정보유출 영역, 인력 영역의 3종류 영역으로 분류할 수 있다.The region-by-region rule classifying unit 131 classifies a plurality of rules into regions and groups them. For example, the area rule classifying unit 131 can classify a plurality of rules into three types of areas: a security environment violation area, an information outflow area, and a manpower area.
영역 기반 상관분석부(132)는 영역별 규칙 분류부(131)에서 그룹화된 규칙 간의 상관분석을 통해 심각도 지수를 결정한다. 여기서, 심각도 지수는 탐지된 규칙들의 개수, 혹은 규칙들이 탐지된 영역, 혹은 시나리오에 기반하여 미리 정의된 시나리오의 규칙 집합과 매칭되는 증적이 탐지되는지 여부 등을 근거로, 정보유출 징후가 확실하다고 판단되는 정도에 따라 결정될 수 있다.The region-based
예컨대, 영역 기반 상관분석부(132)는 동일인이 영역에 관계없이 2가지 이상의 규칙에 탐지되는 경우 심각도 3, 동일인이 보안환경 위반 영역과 정보유출 영역에 탐지되는 경우 심각도 3보다 대응 레벨이 높은 심각도 2, 동일인이 3종류 영역에 모두 탐지되는 경우 심각도 2보다 대응 레벨이 높은 심각도 1로 분석할 수 있다.For example, if the same person is detected in two or more rules regardless of the region, the region-based
정보유출 징후가 확실하다고 판단되는 정도에 따라 심각도 1,2,3으로 분류가 가능하며, 심각도 지수가 3, 2, 1로 높아질수록 정보유출 위험도가 높아지므로, 사용자의 대응 레벨이 높아져야 한다.The severity index is 3, 2, and 1, and the risk of information leakage increases, so the level of user response should be higher.
또한, 2차 규칙 상관분석부(130)는 시나리오 기반의 상관분석 기법을 적용하기 위한 시나리오 등록부(133)와 시나리오 기반 상관분석부(134)를 포함할 수 있 다. 시나리오 등록부(133)는 심각도 지수를 정하는 시나리오 규칙 집합을 미리 정의한다. 시나리오 기반 상관분석부(134)는 시나리오 등록부에 정의된 시나리오 규칙 집합의 실행이 탐지되는 경우, 탐지된 시나리오 규칙 집합에 따라 심각도를 분석한다.The second order regular
2차 규칙 상관분석부(130)는 규칙 기반 상관분석 기법과 시나리오 기반의 상관분석 기법을 단독으로, 혹은 통합적으로 적용하여 내부망에서 인가된 사용자들의 비정상 업무 패턴, 이상징후, 정보유출 여부 등을 판별하기 위한 심각도 지수를 분석할 수 있다.The secondary rule
예컨대, 두 가지 기법을 통합적으로 적용하여 정보유출 여부를 분석하고자 하는 경우, 2차 규칙 상관분석부(130)는 1차 로그 상관분석부(120)를 통해 도출된 복수의 규칙을 영역별로 분류하여 그룹화한 후, 규칙 간 상관분석 기법을 적용하여 탐지되는 규칙들이 속해있는 영역의 개수가 많을수록 심각도 지수를 높게 분석한다. 아울러, 시나리오 기반 상관분석 기법을 적용하여 탐지되는 규칙들이 미리 정의된 시나리오의 규칙 그룹과 일치하는 경우 규칙 간 상관분석 기법의 경우보다 더 높은 심각도 지수를 적용한다.For example, when the two schemes are integrally applied to analyze information leakage, the secondary rule
이를 보다 상세하게 설명하면 다음과 같다.This will be described in more detail as follows.
규칙 간/시나리오 기반 상관분석을 통한 정보유출 심각도를 분석하고, 분석 결과에 따른 정책을 수립하기 위하여, 2차 규칙 상관분석부(130)는 1차 로그 상관분석부(120)에서 도출된 규칙들을 보안환경위반 영역, 정보유출 영역, 인력 영역의 3가지 영역으로 분류한다.In order to analyze the information leakage severity through the inter-rule / scenario-based correlation analysis and to establish a policy according to the analysis result, the secondary rule
그리고, 영역에 관계없이 2개 이상의 규칙 실행이 탐지된 경우 1개의 규칙보다 심각도 지수를 더 높게 설정한다(규칙 간 상관분석 기법 1). 보안환경 위반 영역과 정보유출 영역의 규칙이 탐지된 경우에는 심각도 지수를 '규칙 간 상관분석 기법 1'보다 심각도 지수가 더 높고(규칙 간 상관분석 기법 2), 보안환경 위반 영역과 정보유출 영역, 인력 영역 모두에서 규칙이 탐지된 경우는 '규칙 간 상관분석 기법 2'보다 심각도 지수가 더 높아진다(규칙 간 상관분석 기법 3).If two or more rule runs are detected regardless of the region, the severity index is set to be higher than one rule (inter-rule correlation analysis technique 1). When the rules of the security environment violation area and the information leakage area are detected, the severity index is higher than the 'inter-rule correlation analysis technique 1' (correlation analysis technique 2), and the security environment violation area and information leakage area, When the rule is detected in all the manpower domains, the severity index is higher than the 'inter-rule correlation analysis technique 2' (inter-rule correlation analysis technique 3).
시나리오 기반의 상관분석 기법은 회사의 내부망에서 운영하고 있는 보안 솔루션(정보 수집원)의 정보를 기반으로, 이러한 보안 솔루션을 우회하여 정보를 유출할 수 있는 시나리오를 사전 정의하고, 정의된 시나리오에 관련된 정보가 탐지 될 수 있도록 규칙의 조합을 통해 시나리오를 구현하다. 해당 기법에 따라 규칙 실행이 탐지되는 경우에는, '규칙 간 상관분석 기법 3'보다 더 높은 심각도 지수가 설정된다.Scenario-based correlation analysis technique is based on the information of the security solution (information source) operated in the internal network of the company, predefines scenarios in which information can be leaked by bypassing such security solution, Implement scenarios through a combination of rules so that relevant information can be detected. When rule execution is detected according to the technique, a higher severity index than the inter-rule correlation analysis technique 3 is set.
성격별 규칙 분류부(140)는 1차 로그 상관분석부(120)와 연동하여, 탐지되는 단위 규칙을 기반으로 한 위험수준의 레벨에 따라 정보유출 대응 프로세스가 수행될 수 있도록 복수의 규칙을 정보유출 대응 프로세스에 준하여 성격별로 분류한다. 예컨대, 성격별 규칙 분류부(140)는 복수의 규칙을 정보유출 사전 예방조치 관련 규칙, 정보유출 징후 모니터링 관련 규칙, 정보유출 탐지 관련 규칙으로 분류할 수 있다. 성격별 규칙 분류부(140)는 경우에 따라 생략할 수도 있고, 해당 분석 결과를 참조하여 2차 규칙 상관분석부(130)의 분석 결과를 보강하기 위하여 2차 규칙 상관분석부(130)와 함께 사용할 수도 있다.The personality-based
도 2는 본 발명의 일 실시예에 따른 정보보안을 위한 증적추적 방법의 흐름도이고, 도 3 내지 도 5는 도 2의 일부 단계를 설명하기 위한 참조도이다.FIG. 2 is a flowchart of a trace tracing method for information security according to an embodiment of the present invention, and FIGS. 3 to 5 are reference views for explaining some steps of FIG.
먼저, 증적추적 장치는 복수의 정보 수집원으로부터 로그정보를 수집한다(S110). 여기서, 수집 대상이 되는 로그정보는 내부망에서 유출되는 이기종 간의 아웃바운드 패킷에 관한 정보이다.First, the trace tracing apparatus collects log information from a plurality of information collecting sources (S110). Here, the log information to be collected is information on outbound packets of different types flowing out from the internal network.
다음으로, 증적추적 장치는 수집된 이기종 간의 로그정보를 경우 별로 조합하여 복수의 규칙을 도출한다(S120).Next, the trail tracking device derives a plurality of rules by combining the collected heterogeneous log information for each case (S120).
도 3은 단위 규칙들을 도출하기 위한 프로세스를 예시한 도면이다. 예컨대, 증적추적 장치는 인프라 환경에서 정보유출이 가능한 경우를 유추하여 경우 별로 구분한 후, 정보 수집원으로부터 수집된 정보를 조합(분석)하여 각각의 경우를 만족할 수 있는 규칙들을 도출한다. 이러한 과정을 통해, 도 3의 우측 표와 같이, '경우 1'부터 '경우 46'까지 총 46 종류의 단위 규칙을 도출할 수 있다.Figure 3 is a diagram illustrating a process for deriving unit rules. For example, the trace tracing system divides the cases where information leakage is possible in the infrastructure environment into cases, and then combines (analyzes) the information collected from the information gathering source to derive rules that can satisfy each case. Through this process, as shown in the right table of FIG. 3, 46 kinds of unit rules can be derived from 'Case 1' to 'Case 46'.
이후, 증적추적 장치는 단위 규칙을 기반으로 규칙 위반 여부, 정도 등을 탐지함으로써 정보유출과 관련한 위험수준을 인식하고, 인식된 위험수준의 레벨에 따라 정보유출 대응 프로세스가 수행될 수 있도록 복수의 규칙을 정보유출 대응 프로세스에 준하여 성격별로 분류한다(S130).Thereafter, the trace tracing device recognizes the risk level related to the information leakage by detecting whether or not the rule violation is based on the unit rule, and recognizes a plurality of rules (S130) in accordance with the information leakage process.
도 4는 S120 과정으로부터 도출된 복수의 규칙들을 성격별로 분류하는 S130 과정을 예시한 도면이다. 증적추적 장치는 규칙에 의한 분석 결과를 고려하여 정보유출 대응 프로세스에 준한 규칙 분류를 실행한다. 예컨대, S120에서 도출된 규칙에 의해 탐지된 데이터는 도 4에서와 같이, 정보유출 대응 프로세스에 준해서 정보 유출 사전 예방조치 관련 규칙, 정보유출 징후 모니터링 관련 규칙 및 정보유출 탐지 관련 규칙의 3가지로 분류될 수 있다.4 is a diagram illustrating an exemplary process of sorting a plurality of rules derived from the process of S120 by personality. The trace tracing device classifies the rules according to the information leakage response process in consideration of the analysis result by rule. For example, as shown in FIG. 4, the data detected by the rule derived in S120 are classified into three types according to the information leakage countermeasure process: information leakage precaution measure rules, information leak indication monitoring rules, and information leak detection rules Can be classified.
여기서, 사전 예방조치를 유도하는 규칙(예컨대, 16개)은 수집된 감사로그 형태가 유출관련 사전 예방 조치로 판단될 수 있는 규칙이고, 정보유출 징후를 모니터링하는 규칙(예컨대, 23개)은 감사로그 형태가 유출이라고 판단될 정도의 징후가 있는 규칙이다. 정보유출을 탐지하는 규칙(예컨대, 7개)은 정보유출 사고 발생 시 6하 원칙에 의해 언제, 어디서, 누가, 무엇을, 어떻게, 왜 탐지했는지에 대한 규칙이다.Here, the rule (for example, 16) for deriving the precautionary measure is a rule in which the collected audit log form can be judged as an outflow-related precautionary measure, and a rule (for example, 23) It is a rule with a sign that the log type is judged to be a leak. Rules for detecting information leakage (for example, seven) are rules for when, where, who, what, how, and why, in the event of an information leakage incident, by the six principles.
이와 같은 분류 결과(규칙단위 탐지내역)는 사용자 인터페이스에 반영됨으로써 사용자의 정보유출 대응 프로세스 관리를 유도할 수 있다. 예컨대, 도 4에서, 정의된 일정 개수의 규칙 중 '승인되지 않은 저장매체 사용자' 이외 수 개 이상의 규칙 위반에 의해 위험수준이 '상'으로 탐지된 경우, 증적추적 장치는 '정보유출 탐지'에 해당하는 분석 결과를 사용자 인터페이스에 반영하여 사용자가 대응할 수 있도록 한다.Such a classification result (rule unit detection history) is reflected in the user interface, thereby guiding the user in managing the information leakage handling process. For example, in FIG. 4, when the risk level is detected as 'up' due to violation of several rules other than 'unauthorized storage media user' among a certain defined number of rules, the trail tracking device detects 'information leak detection' And the corresponding analysis result is reflected in the user interface so that the user can respond.
이와 같이, 증적추적 장치는 규칙에서 탐지된 정보를 분석했을 경우 정보유출 가능성이 높은 정보를 도출하는 규칙이 속한 그룹에서 정보유출을 탐지하거나, 규칙의 결과에 따라 감사 등 실증 자료를 획득해야 할 근거를 제공할 수 있다.In this way, the trace tracing device can detect the information leakage from the group to which the rule that derives the information that is likely to leak information is included when analyzing the information detected in the rule, or the basis Can be provided.
단, S130 단계는 단위 규칙을 기준으로 정보유출 대응 수준을 결정하기 위한 것으로, 규칙 간 상관분석 기법(S150) 또는 시나리오 기반 상관분석 기법(S160)과 함께 적용될 수도 있고, 경우에 따라 생략될 수도 있다.However, the step S130 is for determining the information leakage correspondence level based on the unit rule, and may be applied together with the inter-rule correlation analysis technique (S150) or the scenario-based correlation analysis technique (S160) .
이후, 복수의 규칙을 대상으로 규칙 간/시나리오 기반 상관분석을 통해(S140) 정보유출 여부 판단의 근거가 되는 심각도 지수가 결정된다(S150, S160). 여기서, 규칙 간 상관분석 기법과 시나리오 기반 상관분석 기법은 실시 방식에 따라 선택적으로, 혹은 통합적으로 구현될 수 있다(S140).Then, a plurality of rules are subjected to correlation analysis based on inter-rule / scenario-based correlation (S140), and a severity index as a basis for determining the information leakage is determined (S150, S160). Here, the inter-rule correlation analysis technique and the scenario-based correlation analysis technique may be implemented selectively or integrally according to the implementation method (S140).
심각도 지수는 정보유출 징후가 확실하다고 판단되는 정도에 따라 분류되는 것으로, 탐지된 규칙들의 개수, 혹은 규칙들이 탐지된 영역, 혹은 시나리오에 기반하여 미리 정의된 시나리오의 규칙 집합과 매칭되는 증적이 탐지되는지 여부 등에 따라 결정될 수 있다.The severity index is classified according to the degree to which the information leak symptom is judged to be reliable. Whether the number of detected rules, the area where the rules are detected, or the signature matching the rule set of the predefined scenario based on the scenario is detected And the like.
예를 들어, 각 규칙은 보안환경 위반 영역, 정보유출 영역, 인력 영역의 3종류 영역으로 분류될 수 있다. 이때, 증적추적 장치는 동일인이 영역에 관계없이 2가지 이상의 규칙에 탐지되는 경우 심각도 3, 동일인이 보안환경 위반 영역과 정보유출 영역에 탐지되는 경우 심각도 3보다 대응 레벨이 높은 심각도 2, 동일인이 3종류 영역에 모두 탐지되는 경우 심각도 2보다 대응 레벨이 높은 심각도 1로 분석할 수 있다(S150). 혹은, 사용자가 영역에 관계없이 미리 정의된 시나리오의 규칙 집합에 의해 탐지되는 경우 탐지된 시나리오에 따라 심각도가 분석될 수 있다(S160).For example, each rule can be classified into three types of areas: a security environment violation area, an information leakage area, and a manpower area. If the same person is detected in two or more rules regardless of area, the tracing device will have severity level 3, if the same person is detected in security environment violation area and information leakage area, If all of them are detected in the type region, the severity 1 can be analyzed to have a higher level of correspondence than the severity 2 (S150). Alternatively, if the user is detected by a rule set of a predefined scenario regardless of the area, the severity may be analyzed according to the detected scenario (S160).
구체적으로, 증적추적 장치는 S120에서 도출된 복수의 규칙을 영역별로 분류하여 그룹화한 후(S151), 그룹화된 규칙 간의 상관분석을 통해 심각도 지수를 결정할 수 있다(S152 내지 S156). 혹은 복수의 규칙 중 특정 시나리오를 만족하는 규칙들의 집합을 정의하고(S161), 해당 시나리오를 만족하는 일련의 분석 규칙들이 탐 지되는 경우(S162), 그에 따른 심각도 지수를 분석 결과로서 사용자 인터페이스에 반영할 수 있다(S163).Specifically, the trail tracking apparatus classifies a plurality of rules derived in S120 into regions, groups them (S151), and determines a severity index through correlation analysis between the grouped rules (S152 to S156). Or a set of rules satisfying a specific scenario among a plurality of rules is defined (S161). If a series of analysis rules satisfying the scenario is detected (S162), the corresponding severity index is reflected in the user interface as an analysis result (S163).
도 5는 2차 심각도 분석 프로세스를 나타낸 도면으로서, 규칙 간 상관분석(또는 시나리오 기반의 상관분석)을 통한 정보유출 심각도별 탐지 정책의 수립 과정을 예시하고 있다.FIG. 5 is a diagram illustrating a secondary severity analysis process, illustrating the process of establishing a detection policy according to information leakage severity through inter-rule correlation analysis (or scenario-based correlation analysis).
도 5에서, 증적추적 장치는 복수의 규칙들을 영역별로 분류하여 그룹화한 후, 규칙 간 상관분석 기법을 적용하여 탐지되는 규칙들이 속해있는 영역의 개수가 많을수록 심각도 지수를 높게 분석하고 있다. 아울러, 시나리오 기반 상관분석 기법을 적용하여 탐지되는 규칙들이 미리 정의된 시나리오의 규칙 그룹과 일치하는 경우 규칙 간 상관분석 기법의 경우보다 더 높은 심각도 지수를 적용하고 있다.In FIG. 5, the trail tracking apparatus classifies a plurality of rules into regions, groups them, and analyzes the severity index as the number of regions in which rules detected by applying correlation analysis between rules is larger. In addition, when the rules detected by applying the scenario-based correlation analysis method are consistent with the rule group of the predefined scenario, a higher severity index is applied than the inter-rule correlation analysis method.
당해 단계에서, 증적추적 장치는 S120 단계에서 도출된 46 종류의 분석 규칙 간의 상관분석을 통해 보다 정확하고 신뢰할 수 있는 정보유출 시나리오 기반 탐지 정책을 수립할 수 있다.At this stage, the trail tracking apparatus can establish a more accurate and reliable information leakage scenario-based detection policy through correlation analysis among the 46 kinds of analysis rules derived in step S120.
먼저, S120 단계의 1차 로그 상관분석 프로세스를 통해 도출된 46 종류의 분석 규칙을 대상으로 영역별 분류 체계가 수립된 후, 영역별 규칙 그룹화가 이루어진다(S151).First, a region classification scheme is established with respect to the 46 kinds of analysis rules derived through the primary log correlation analysis process in step S120, and then region rule grouping is performed (S151).
예컨대, 46종의 분석 규칙 중 PC 보안환경을 위반한 사항을 도출해 내는 규칙을 도출하여 그룹화함으로써 보안환경 위반 영역이 설정된다. 그리고, 46종의 분석 규칙 중 로컬 PC에서 다른 내부자의 PC로, 또는 외부자의 PC로 정보가 이동되는 환경에서 보안 위반이 이루어진 사항을 도출해 내는 규칙을 도출하여 그룹화함으로 써, 정보유출 영역이 설정된다. 마찬가지로, 46종의 분석 규칙 중 정보유출 가능성이 있는 모든 사용자를 대상으로, 특히 집중관리하고 모니터링 해야 할 인력을 찾아내는 규칙을 도출하여 그룹화함으로써 인력 영역이 설정된다.For example, among the 46 kinds of analysis rules, a rule for deriving a violation of the PC security environment is derived and grouped into a security environment violation area. An information leakage area is set by deriving and grouping rules for deriving security violation items in an environment in which information is moved from a local PC to another insider PC or an external PC among 46 kinds of analysis rules . Likewise, the manpower domain is set by deriving and grouping the rules for finding the manpower to be specifically managed and monitored, targeting all users who are likely to leak information out of the 46 kinds of analysis rules.
여기서, 보안환경 위반 영역의 규칙들(예컨대, 18개)은 사용자가 PC를 사용하면서 회사의 보안정책을 위반하는 행위를 했다고 판단하는 규칙이다. 예컨대, 필수 보안 소프트웨어 미 설치한 경우, 승인되지 않은 외부 저장장치를 사용한 경우, PC를 무단 반출하여 외부에서 사용한 경우 등이 있을 수 있다. 정보유출 영역의 규칙들(예컨대, 19개)는 사용자가 여러 매체(USB, CD-RW 등) 및 경로(이메일, 메신저 등)을 통해 정보유출 행위를 했다고 판단하는 규칙이다. 예컨대, 중요문서의 출력건수가 임계치를 초과한 경우, 업무 내/외 시간 과대 용량, 첨부파일 외부 송신, 중요 파일의 임계치 이상의 다운로드 한 경우 등이 있을 수 있다. 인력 영역의 규칙들(예컨대, 9개)로는 아웃소서, 퇴직예정자, 핵심 연구인력 등의 관심인력 관련 규칙이 있을 수 있다.Here, the rules (for example, 18) of the security environment violation area are rules that determine that the user has performed an operation violating the security policy of the company while using the PC. For example, there may be cases where essential security software is not installed, unauthorized external storage is used, a PC is unauthorized and used outside. The rules (for example, 19) of the information leakage area are rules that determine that the user has performed an information leakage operation through various media (USB, CD-RW, etc.) and paths (e-mail, instant messenger, etc.). For example, when the number of output of important documents exceeds the threshold value, there may be a case where the internal / external time excess capacity, external transmission of attachments, or downloading of critical files exceeds a threshold value. The rules of the manpower domain (eg, nine) may include interested personnel-related rules such as outsourcers, retirees, and core research personnel.
이후, 그룹화된 규칙 간의 상관분석을 통해 심각도 지수가 결정된다(S152 내지 S157). 예컨대, 도 5에서, 심각도 지수는 심각도 3, 심각도 2, 심각도 1, 시나리오 기반 심각도 1로 분류된다.Then, the severity index is determined through correlation analysis between the grouped rules (S152 to S157). For example, in FIG. 5, the severity index is classified as severity 3, severity 2, severity 1, and scenario-based severity 1.
46종의 규칙 중에서 동일인이 2개 이상의 규칙에 탐지된 경우(S156), 분석 결과는 심각도 3이 된다(S157). '심각도 3'은 동일한 사람이 영역에 관계없이 2개 이상의 규칙에 탐지된 경우로써 이러한 사용자는 집중 관리 대상자로 선정하여 지속적으로 모니터링 되어야 한다.If the same person is detected in two or more rules among 46 kinds of rules (S156), the analysis result becomes severity 3 (S157). 'Severity 3' is the case where the same person is detected in two or more rules regardless of the area, and such user should be selected as the user to be centrally managed and continuously monitored.
동일인이 2개 영역에서 탐지된 경우(S154), 예컨대, 보안환경 위반 영역에 속하는 규칙에서 탐지된 사람이 정보유출 영역에 속하는 규칙에도 탐지된 경우, 분석 결과는 심각도 2가 된다(S155). 여기서, '심각도 2'는 동일한 사람이 보안환경 위반 영역에 속하는 규칙에도 탐지되고 정보유출 영역에 속하는 규칙에도 탐지되는 경우로써, 이러한 사용자는 집중 관리 대상자로 선정하여야 하고, 실제로 유출된 정보가 고객 또는 내부정보가 포함되어 있는지 검증하는 절차를 수행하여야 한다.If the same person is detected in two areas (S154), for example, if the person detected in the rule belonging to the security environment violation area is also detected in the rule belonging to the information leakage area, the analysis result becomes severity 2 (S155). In this case, 'Severity 2' is a case where the same person is detected in a rule belonging to a security environment violation area and is also detected in a rule belonging to an information leakage area. Such a user should be selected as a user for concentration management, Procedures should be verified to verify that internal information is included.
동일인이 3개 영역에서 모두 탐지된 경우(S152), 예컨대, 보안환경 위반 영역에 속하는 규칙에서 탐지된 사람이 정보유출 영역에 속하는 규칙에서도 탐지되고, 인력 영역에 속하는 규칙에도 탐지되는 경우, 분석 결과는 심각도 1이 된다(S153). '심각도 1'은 동일한 사람이 보안환경 위반 영역과, 정보유출 영역, 인력 영역 모두에서 탐지되는 경우로써, 이는 모든 영역을 위반한 사항으로 정보유출이 시도 되었다고 신뢰할 수 있는 정도의 수준을 나타내는 것으로, 포렌직(Forensics) 등을 통한 정밀 업무 분석 등을 실시할 수 있는 근거를 제공한다.If the same person is detected in all three areas (S152), for example, if a person detected in a rule belonging to a security environment violation area is also detected in a rule belonging to an information leakage area, and a rule belonging to a manpower area is also detected, Becomes a severity 1 (S153). 'Severity 1' indicates that the same person is detected in both the security violation area, information leakage area, and manpower area. This indicates that the information leakage is attempted as a violation of all areas, And forensic analysis through forensics (Forensics).
시나리오 기반의 탐지가 이루어지는 경우(S162), 예컨대, 보안환경위반 영역, 정보유출 영역, 인력 영역 각각에 속하는 규칙으로 실제 정보유출이 가능한 경우를 고려하여 작성된 시나리오에 해당하는 규칙 집합에 의해 탐지되는 경우, 분석 결과는 시나리오 기반 심각도 1이 된다(S163). '시나리오 기반 심각도 1'은 시나리오 기반 규칙이 실제 업무 환경에서 정보가 유출 가능한 시나리오를 수립하고 해당 시나리오에 유출되는 정보가 탐지되도록 3가지 영역에 속하는 규칙의 조합으로 탐지되는 경우이다. 이는 정보유출이 시도 되었다고 신뢰할 수 있는 정도의 수준을 나타내는 것으로, 포렌직 등을 통한 정밀 업무 분석 등을 실시할 수 있는 근거를 제공한다.When a scenario-based detection is performed (S162), for example, detection is performed by a rule set corresponding to a scenario created considering the case where actual information leakage is possible in a rule belonging to each of security environment violation area, information leakage area, and manpower area , The analysis result becomes the scenario-based severity 1 (S163). 'Scenario-based severity 1' is a case where scenario-based rules are detected as a combination of rules belonging to three areas so that information can be leaked in real business environment and information leaked to the scenario is detected. This indicates the degree of confidence that information leakage has been attempted, and provides a basis for conducting precision work analysis through forensics and the like.
이후, 증적추적 장치는 규칙/시나리오에 대한 탐지 결과를 바탕으로 탐지된 이유를 명시함으로써 포렌직 근거로 활용할 수 있다. 규칙/시나리오에 의해 탐지되었다는 것은 궁극적으로 정책을 위반한 사항으로 정책 위반 상세 내역을 확인함으로써 정보유출 여부를 판단할 수 있다. 또한, 하나의 규칙/시나리오에 탐지된 경우 기간 개념을 적용하여 이전 또는 다른 시스템에서의 정보유출 관련 증적을 확인하여 실제 정보유출 여부를 판단할 수 있는 증적 자료를 제공할 수 있다.The tracer tracking device can then be used as a forensic basis by specifying the reason for the detection based on the detection result for the rule / scenario. Detection by rules / scenarios is ultimately a violation of the policy, and by checking the details of the policy violation, it can be judged whether or not the information is leaked. In addition, when a rule / scenario is detected, the concept of period can be applied to provide a traceability data to determine whether the information is leaked or not by confirming the information leakage related to a previous or another system.
상술한 본 발명의 바람직한 실시예에 따르면, 다음과 같은 효과들을 기대할 수 있다.According to the preferred embodiment of the present invention described above, the following effects can be expected.
첫째, 보안사고 발생 시 정확한 원인 분석을 통한 재발 방지 활동을 강화할 수 있다. 구체적으로, 6하 원칙에 의거 보안사고 유발자 및 유발 원인, 유출 경로에 대한 정확한 분석 활동을 수행하여 보안 사고에 대한 증적을 확보하여 책임 추궁 가능성을 확보할 수 있다. 또한, 이를 근거로 동일한 정보유출 사고가 재발하지 않도록 사후 조치 활동을 수행함으로써 재발을 방지하고, 정보 수집원에 대한 신규 정책/패턴 수립 근거로 활용함으로써, 정보유출 사고의 빈도를 줄일 수 있다.First, it is possible to reinforce the prevention of recurrence through accurate cause analysis in the event of a security incident. Specifically, it is possible to secure the possibility of misbehavior by ensuring the traceability of security incidents by carrying out accurate analysis activities on the cause of the accident, the cause of the accident, and the outflow route based on the Sixth Principles. Also, based on this, it is possible to reduce the frequency of information leakage accidents by preventing the recurrence by performing post-measures activities so that the same information leakage accident does not recur, and by utilizing it as a basis for establishing new policies / patterns for information gathering sources.
둘째, 아웃소싱 보안업무 수행인력에 대한 업무 패턴 모니터링을 강화할 수 있다. 즉, 보안상 허점이 될 수 있는 보안업무 수행인력에 대한 업무 수행 내역 모니터링 방안을 확보하고, 모니터링 강화에 대한 보안 의식을 제고할 수 있다.Second, it can strengthen the monitoring of work patterns on outsourcing security personnel. In other words, it is possible to monitor the performance of the security workforce, which may become a loophole in security, and to enhance the security consciousness for monitoring enhancement.
셋째, 증적을 근거로 하여 정보유출 여부를 판단하고 제시함으로 신뢰성 높 은 정보유출 경로 및 담당자를 식별할 수 있다.Third, it is possible to identify the information leakage path and the responsible person by judging and presenting information leakage based on the trace.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, You will understand.
따라서, 이상에서 기술한 실시예들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이므로, 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 하며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.Therefore, it should be understood that the above-described embodiments are provided so that those skilled in the art can fully understand the scope of the present invention. Therefore, it should be understood that the embodiments are to be considered in all respects as illustrative and not restrictive, The invention is only defined by the scope of the claims.
본 발명은 정보유출 탐지 및 통합로그 분석에 유용하게 적용할 수 있다.The present invention is useful for information leak detection and integrated log analysis.
본 발명의 정보보안을 위한 증적추적 장치 및 방법에 따르면, 이기종 간의 다양한 통합로그를 취합하여 유형별로 분류해 활용함으로써 보다 효율적으로 정보유출 탐지를 수행할 수 있고, 사용자들의 비정상적인 활동을 모니터링하여 이상징후를 포착하거나 정보유출을 식별하면 관련된 증적자료를 수집하여 정확한 근거를 제시할 수 있다.According to the trace tracing device and method for information security of the present invention, various integrated logs of different kinds are collected and classified according to types and utilized, so that information leakage can be detected more efficiently, abnormal activities of users are monitored, Or information leakage can be identified, the relevant evidence can be gathered to provide an accurate basis.
도 1은 본 발명의 일 실시예에 따른 정보보안을 위한 증적추적 장치의 개략적인 구성도이다.1 is a schematic block diagram of a trace tracing device for information security according to an embodiment of the present invention.
도 2는 본 발명의 일 실시예에 따른 정보보안을 위한 증적추적 방법의 흐름도이다.2 is a flowchart of a trace tracing method for information security according to an embodiment of the present invention.
도 3 내지 도 5는 도 2의 일부 단계를 설명하기 위한 참조도이다.Figs. 3 to 5 are reference views for explaining some steps of Fig. 2. Fig.
*도면의 주요부분에 대한 부호의 설명*Description of the Related Art [0002]
110: 로그 수집부 120: 1차 로그 상관분석부110: log collecting unit 120: primary log correlation analyzing unit
130: 2차 규칙 상관분석부 140: 성격별 규칙 분류부130: Second order regular correlation analyzing unit 140: Character classification rule unit
Claims (20)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090039617A KR101399326B1 (en) | 2009-05-07 | 2009-05-07 | Tracking trail apparatus for information security and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090039617A KR101399326B1 (en) | 2009-05-07 | 2009-05-07 | Tracking trail apparatus for information security and method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100120798A true KR20100120798A (en) | 2010-11-17 |
KR101399326B1 KR101399326B1 (en) | 2014-06-03 |
Family
ID=43406236
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090039617A KR101399326B1 (en) | 2009-05-07 | 2009-05-07 | Tracking trail apparatus for information security and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101399326B1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017095017A1 (en) * | 2015-11-30 | 2017-06-08 | (주)엠더블유스토리 | System and method for recognizing business information leakage situation, and storage medium including program recorded therein for processing said method |
KR20180039372A (en) * | 2016-10-10 | 2018-04-18 | 주식회사 윈스 | The Realtime Trail Data Collector apparatus about Network Intrusion Detection and method thereof |
US10164839B2 (en) | 2014-03-31 | 2018-12-25 | Lac Co., Ltd. | Log analysis system |
KR101964412B1 (en) * | 2018-12-12 | 2019-04-01 | 주식회사 모비젠 | Method for diagnosing anomaly log of mobile commmunication data processing system and system thereof |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100458816B1 (en) * | 2001-09-11 | 2004-12-03 | 주식회사 이글루시큐리티 | Method for real-time auditing a Network |
-
2009
- 2009-05-07 KR KR1020090039617A patent/KR101399326B1/en active IP Right Grant
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10164839B2 (en) | 2014-03-31 | 2018-12-25 | Lac Co., Ltd. | Log analysis system |
WO2017095017A1 (en) * | 2015-11-30 | 2017-06-08 | (주)엠더블유스토리 | System and method for recognizing business information leakage situation, and storage medium including program recorded therein for processing said method |
KR20180039372A (en) * | 2016-10-10 | 2018-04-18 | 주식회사 윈스 | The Realtime Trail Data Collector apparatus about Network Intrusion Detection and method thereof |
KR101964412B1 (en) * | 2018-12-12 | 2019-04-01 | 주식회사 모비젠 | Method for diagnosing anomaly log of mobile commmunication data processing system and system thereof |
Also Published As
Publication number | Publication date |
---|---|
KR101399326B1 (en) | 2014-06-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lee et al. | An effective security measures for nuclear power plant using big data analysis approach | |
Walker-Roberts et al. | A systematic review of the availability and efficacy of countermeasures to internal threats in healthcare critical infrastructure | |
CN107577939B (en) | Data leakage prevention method based on keyword technology | |
KR101548138B1 (en) | System and Method for Tracing Signature Security Information | |
WO2019220363A1 (en) | Creation and verification of behavioral baselines for the detection of cybersecurity anomalies using machine learning techniques | |
KR101399326B1 (en) | Tracking trail apparatus for information security and method thereof | |
CN116614277A (en) | Network security supervision system and method based on machine learning and abnormal behavior analysis | |
KR20110110431A (en) | Apparatus for information security and method thereof | |
CN112688971B (en) | Function-damaged network security threat identification device and information system | |
Khan et al. | Towards augmented proactive cyberthreat intelligence | |
US9648039B1 (en) | System and method for securing a network | |
Qassim et al. | Strategy to Reduce False Alarms in Intrusion Detection and Prevention Systems. | |
Mascetti et al. | EPIC: a methodology for evaluating privacy violation risk in cybersecurity systems | |
US11575702B2 (en) | Systems, devices, and methods for observing and/or securing data access to a computer network | |
Palko et al. | Determining Key Risks for Modern Distributed Information Systems. | |
Alharbi | A qualitative study on security operations centers in saudi arabia: challenges and research directions | |
Hakkoymaz | Classifying Database Users for Intrusion Prediction and Detection in Data Security | |
Bourekkache et al. | Computer and Network Security: Ontological and Multi-agent System for Intrusion Detection. | |
Kim et al. | A study on analyzing risk scenarios about vulnerabilities of security monitoring system: focused on information leakage by insider | |
Brignoli et al. | A distributed security tomography framework to assess the exposure of ICT infrastructures to network threats | |
Gheorghică et al. | A new framework for enhanced measurable cybersecurity in computer networks | |
Vuppala et al. | Intrusion Detection & Prevention Systems-Sourcefire Snort | |
KR101498647B1 (en) | Security Management System And Security Management Method Using The Same | |
US20230396640A1 (en) | Security event management system and associated method | |
Zhou | Risks in the Design and Analysis of Accounting Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
N231 | Notification of change of applicant | ||
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20180427 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20190422 Year of fee payment: 6 |