KR20170056876A - 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템 - Google Patents

로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템 Download PDF

Info

Publication number
KR20170056876A
KR20170056876A KR1020150160240A KR20150160240A KR20170056876A KR 20170056876 A KR20170056876 A KR 20170056876A KR 1020150160240 A KR1020150160240 A KR 1020150160240A KR 20150160240 A KR20150160240 A KR 20150160240A KR 20170056876 A KR20170056876 A KR 20170056876A
Authority
KR
South Korea
Prior art keywords
event
client device
server
logs
security
Prior art date
Application number
KR1020150160240A
Other languages
English (en)
Other versions
KR102098064B1 (ko
Inventor
이용진
유창훈
장석현
Original Assignee
주식회사 마크애니
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 마크애니 filed Critical 주식회사 마크애니
Priority to KR1020150160240A priority Critical patent/KR102098064B1/ko
Publication of KR20170056876A publication Critical patent/KR20170056876A/ko
Application granted granted Critical
Publication of KR102098064B1 publication Critical patent/KR102098064B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Debugging And Monitoring (AREA)

Abstract

로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템이 개시되어 있다. 로그 분석을 기반으로 하는 모니터링 방법은 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 감지된 이벤트에 대응하는 로그들을 기반으로 하여 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하고, 그 판단을 기반으로 하여, 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나 클라이언트 디바이스에 의한 보안 조치를 수행하는 것 중 어느 하나를 수행할 수 있다.

Description

로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템 {Method, Apparatus and System for Security Monitoring Based On Log Analysis}
본 발명은 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템에 관한 것으로서, 좀더 상세하게는, 클라이언트 디바이스에서 발생하는 행위에 따른 로그들을 수집하고, 수집된 로그들을 분석하여 선택적으로 서버에서 보안 조치를 수행하므로 서버의 로드는 줄이고 분석의 신속성과 신뢰성은 향상시킨 로그 분석 기반의 보안 모니터링 방법, 장치 및 시스템에 관한 것이다.
최근 들어, 인터넷 환경에서 해킹 등으로 인한 불법 행위가 빈번하게 발생하면서, 이러한 불법 행위를 검출하고 대응하기 위한 모니터링 시스템과 그 관련 기술들이 개발되고 있다. 예를 들어 모니터링 시스템은 클라이언트의 행위를 분석하고 그 행위가 불법으로 판별되면 해당 행위에 대한 방법 및 신고 등의 처리를 수행할 수 있다.
이때, 클라이언트 디바이스의 행위를 분석하기 위한 기반으로서 클라이언트 디바이스에서 발생하는 로그들을 사용할 수 있다. 종래의 로그 분석은 배치 방식을 사용하거나 전용 하드웨어에 의존하고 있다. 그런데 이러한 경우, 실시간 처리 방식이 아니므로 불법 행위에 대한 신속한 대응이 어렵고 비용이 많이 소모된다.
종래의 다른 방식으로 클라이언트 디바이스의 로그를 일일이 서버에서 수집한 후 분석하고 그 결과 및 대응 지침을 클라이언트 디바이스로 전송하는 방식이 있으나 이 경우에도 서버 및 네트워크의 로드가 너무 많고 대응이 느려지는 문제점이 있었다.
따라서, 서버 및 네트워크의 부하를 최소화하면서도 클라이언트 디바이스에서 발생하는 이상 징후를 실시간으로 용이하게 판단 및 대처할 수 있는 새로운 기술의 개발이 시급히 요구되고 있다.
KR20050095399
본 발명은 이러한 문제점을 해결하기 위한 것으로서, 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 수집된 로그들을 실시간으로 분석하여 클라이언트 디바이스 또는 서버에서 선택적으로 위험 이벤트에 대응하는 보안 조치를 수행함으로써 서버 및 네트워크 부하를 최소화하면서도 대처의 신속성은 향상시킨 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템을 제공하는데 그 목적이 있다.
이러한 목적을 달성하기 위하여 본 발명은 일 측면(Aspect)에서 로그 분석을 기반으로 하는 보안 모니터링 방법을 제공한다. 상기 로그 분석을 기반으로 하는 보안 모니터링 방법은, 클라이언트 디바이스에 의하여 수행되는 보안 모니터링 방법에 있어서, 상기 클라이언트 디바이스에서 발생하는 로그들을 수집하는 단계; 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하는 단계; 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하는 단계; 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계; 및 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하는 단계 및 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 단계 중 어느 하나의 단계를 수행하는 단계를 포함한다.
상기 보안 조치가 필요한 이벤트를 감지하는 단계는, 상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단하는 단계를 포함할 수 있다.
상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함할 수 있다. 상기 로그 정보는, 어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함할 수 있다.
상기 감지된 이벤트가 상기 서버에 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계는, 상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하는 단계; 이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하는 단계; 및 상기 위험 포인트가 상기 기준 포인트 이상인지를 판단하는 단계를 포함할 수 있다.
상기 어느 하나의 단계를 수행하는 단계는, 상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행하는 단계를 포함할 수도 있다.
상기 보안 조치를 수행하는 단계는, 상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행하는 단계를 포함할 수 있다. 상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함할 수 있다.
상기 로그 분석을 기반으로 하는 보안 모니터링 시스템은, 상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하는 단계; 상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하는 단계; 및 상기 서버에서 명령하는 보안 조치를 수행하는 단계를 더 포함할 수도 있다.
한편, 상술한 본 발명의 목적을 달성하기 위하여 본 발명은 다른 측면에서 로그 분석을 기반으로 하는 보안 모니터링 장치를 제공한다. 상기 보안 모니터링 장치는, 클라이언트 디바이스에서 발생하는 로그들을 수집하는 로그 수집부; 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 실시간 로그 분석부; 및 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나, 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 로컬 제어부를 포함할 수 있다.
상기 실시간 로그 분석부는, 상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단할 수 있다. 상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함할 수 있다. 상기 로그 정보는, 어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함할 수 있다.
상기 실시간 로그 분석부는, 상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하고, 이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하고, 상기 위험 포인트가 상기 기준 포인트 이상인지를 판단할 수 있다.
상기 로컬 제어부는, 상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행할 수 있다.
상기 로컬 제어부는 상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행할 수 있다. 상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함할 수 있다.
상기 로컬 제어부는, 상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하고, 상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하고, 상기 서버에서 명령하는 보안 조치를 수행할 수 있다.
한편, 상술한 본 발명의 목적을 달성하기 위하여 본 발명은 또 다른 측면에서 로그 분석을 기반으로 하는 보안 모니터링 시스템을 제공한다. 상기 로그 분석을 기반으로 하는 보안 모니터링 시스템은, 클라이언트 디바이스 및 상기 클라이언트 디바이스와 연동하는 서버를 포함할 수 있다.
상기 클라이언트 디바이스는, 상기 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하고, 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나, 상기 클라이언트 디바이스에 의한 보안 조치를 수행할 수 있다.
상기 클라이언트 디바이스는, 상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단할 수 있다. 상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함할 수 있다. 상기 로그 정보는, 어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함할 수도 있다.
상기 클라이언트 디바이스는, 상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하고, 이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하고, 상기 위험 포인트가 상기 기준 포인트 이상인지를 판단할 수 있다.
상기 클라이언트 디바이스는, 상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행할 수 있다.
상기 클라이언트 디바이스는, 상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행할 수 있다. 상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함할 수 있다.
상기 클라이언트 디바이스는, 상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하고, 상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하고, 상기 서버에서 명령하는 보안 조치를 수행할 수 있다.
한편, 상술한 본 발명은 또 다른 측면에서 컴퓨터 프로그램을 제공한다. 상기 컴퓨터 프로그램은, 클라이언트 디바이스의 프로세서에 의하여 메모리에 로딩되어 수행되는 컴퓨터 프로그램으로서, 상기 클라이언트 디바이스에서 발생하는 로그들을 수집하는 단계; 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하는 단계; 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하는 단계; 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계; 및 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하는 단계 및 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 단계 중 어느 하나의 단계를 수행하는 단계를 실행시킬 수 있다.
이상 설명한 바와 같이, 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 수집된 로그들을 실시간으로 분석하여 클라이언트 디바이스 또는 서버에서 선택적으로 위험 이벤트에 대응하는 보안 조치를 수행함으로써 서버 및 네트워크 부하를 최소화하면서도 대처의 신속성은 향상시킬 수 있다.
도 1은 본 발명의 바람직한 실시예에 따른 로그 분석을 기반으로 하는 보안 모니터링 시스템의 구성을 도시하는 블록도이다.
도 2는 도 1에 도시되어 있는 클라이언트 디바이스의 상세 구성을 도시하는 블록도이다.
도 3은 도 2에 도시된 보안 모니터링부의 동작 흐름을 설명하기 위한 흐름도이다.
도 4는 실시간 로그 분석부에 의하여 문서 오픈 이벤트 시에 생성된 로그들에 대응하여 생성되는 로그 정보를 예시적으로 나타내는 예시도이다.
도 5는 클라이언트 디바이스에서 상세 분석 요청을 서버로 전송한 이후의 동작 과정을 설명하기 위한 흐름도이다.
도 6은 적어도 하나 이상의 클라이언트 디바이스와 연동하는 서버의 구성을 나타내는 블록도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제 1, 제 2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 '연결되어' 있다거나 '접속되어' 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 '직접 연결되어' 있다거나 '직접 접속되어' 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, '포함하다' 또는 '가지다' 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 바람직한 실시예에 따른 로그 분석을 기반으로 하는 보안 모니터링 시스템의 구성을 도시하는 블록도이다.
도 1에 도시된 바와 같이, 본 발명의 바람직한 실시예에 따른 로그 분석을 기반으로 하는 보안 모니터링 시스템(1)은 적어도 하나의 클라이언트 디바이스(10) 및 서버(20)로서 구현될 수 있다. 예를 들어, 클라이언트 디바이스(10) 및 서버(20)를 포함하는 보안 모니터링 시스템(1)은 DRM(Digital Right Management)이 적용된 직장 내 인트라넷 등과 같이 보안이 필요한 로컬 네트워크를 기반으로 하는 시스템일 수 있다.
상기 클라이언트 디바이스(10)는 통신 네트워크를 통하여 서버(20)나 다른 디바이스와 연동할 수 있는 네트워크 컴퓨터 단말기이다. 예를 들어, 클라이언트 디바이스(10)는 PC(Personal Computer), 노트북, 태블릿 PC, 노트패드, 스마트폰 등일 수 있다. 클라이언트 디바이스(10)는, 도시되지는 않았으나 적어도, 연산을 수행하는 프로세서, 프로그램의 실행을 위한 데이터를 저장하는 메모리, 디지털 정보를 저장하는 하드디스크, 정보를 입력하기 위한 입력부, 정보를 표시하는 출력부, 통신망과 연동하기 위한 통신부 등을 포함할 수 있다.
프로세서는 입력부를 통한 사용자의 요청에 따라 하드디스크에 저장된 소프트웨어를 메모리에 로딩하여 실행시킬 수 있다. 입력부는 예컨대 키보드, 가상 키보드 등일 수 있으며 출력부는 모니터 등과 같이 디스플레이 패널을 포함하는 정보 디스플레이 수단을 의미할 수 있다. 입력부와 출력부는 일체형 터치스크린으로 구현될 수도 있다.
상기 클라이언트 디바이스(10)는 윈도우, 애플, 안드로이드 등에서 제공하는 운영 체제를 통하여 운영되며, 워드 프로세서, 파워포인트, 엑셀, 아래한글, 포토샵, 오토 캐드 등 문서 또는 디지털 콘텐트를 사용하기 위한 콘텐트 소프트웨어, 인터넷에 접속 가능한 브라우저 등 다양한 어플리케이션들이 구비될 수 있다.
이러한 클라이언트 디바이스(10)에는 보안 모니터링부가 구비된다. 상기 보안 모니터링부는 클라이언트 디바이스(10)에서 발생하는 로그들을 수집하고, 수집된 로그들을 실시간 분석하여 보안 조치가 필요한 이벤트를 감지지하고, 감지된 이벤트의 위험 수준에 따라 클라이언트 디바이스(10)에서 자체적으로 보안 조치를 수행하거나, 또는 서버(20)에 의뢰하여 상세 분석을 요청할 수 있다.
서버(20)는 적어도 하나의 클라이언트 디바이스(10)와 연계하고 클라이언트 디바이스(10)의 상세 분석 요청에 응답하여 위험성이 있는 이벤트를 상세 분석하고 분석된 내용에 따라 대응 조치를 클라이언트 디바이스(10)로 명령한다. 서버(20)는 이와 같은 이벤트들의 정보를 데이터베이스화하여 저장 및 관리한다.
도 2는 도 1에 도시되어 있는 클라이언트 디바이스(10)의 상세 구성을 도시하는 블록도이고, 도 3은 도 2에 도시된 보안 모니터링부의 동작 흐름을 설명하기 위한 흐름도이다.
도 2 및 도 3을 참조하면, 클라이언트 디바이스(10)에는 적어도 하나의 어플리케이션(AP) 및 보안 모니터링부(100)가 구비될 수 있다. 상기 보안 모니터링부(100)의 로그 수집부(110)는 클라이언트 디바이스(10)에서 발생하는 로그들을 수집할 수 있다(단계:S1). 예를 들어, 사용자가 입력부를 통하여 클라이언트 디바이스(10)에 어떠한 행위, 예컨대 어플리케이션을 이용하여 특정 문서에 대한 오픈, 수정, 저장, 복사 등을 요청하면, 클라이언트 디바이스(10)에는 그에 따른 로그들이 발생할 수 있다. 로그 수집부(110)은 이러한 로그들을 수집할 수 있다.
실시간 로그 분석부(120)는 수집된 로그들을 실시간 분석하여, 보안 조치가 필요한 이벤트를 감지할 수 있다(단계:S2). 구체적으로, 실시간 로그 분석부(120)는 클라이언트 디바이스(10)에서 수집된 로그들을 분석하여 기 저장된 룰 셋과 비교하고 룰 셋을 위반하는 이벤트를 감지할 수 있다. 상기 룰 셋은 클라이언트 디바이스(10)에서 발생할 수 있는 다양한 위험 시나리오를 정의하는 시나리오 세트일 수 있다.
예를 들어, 상기 룰 셋은 "XXX 부서의 디바이스에서 1분 동안 문서를 10개이상 열 수 없음", "10개 이상의 문서를 동시에 오픈시킬 수 없음", "10초동안 문서 5개 이상을 삭제할 수 없음", "000 권한 등급의 디바이스는 문서를 복사 또는 전송할 수 없음" 등과 같은 위험 시나리오를 포함할 수 있다.
이러한 룰 셋은 디바이스의 권한 등급, 어플리케이션 종류, 대상 문서(파일), 엑세스 종류, 엑세스 카운트 값, 이벤트 발생 시간, 이벤트 발생 기간 등의 요소에 따라 다양하게 설정될 수 있다. 룰 셋은 서버(20)의 관리자가 클라이언트 매니저의 사용자 인터페이스를 통하여 설정할 수 있으며, 서버 저장소에 저장될 수 있다. 상기 룰 셋은 클라이언트 매니저로부터 클라이언트 디바이스(10)의 클라이언트 에이전트(160)로 전달된 후 클라이언트 디바이스(10)의 로컬 저장소(150)에 저장 및 관리될 수 있다.
실시간 로그 분석부(120)는 이러한 룰 셋을 이용하여 보안 조치가 필요한 이벤트를 감지할 수 있다. 예를 들어, 클라이언트 디바이스(10)가 "XXX 부서" 소속으로 등록된 디바이스이고, 룰 셋이 "XXX 부서의 클라이언트 단말기에서 1분 동안 문서를 10개이상 열 수 없음"이라고 정하고 있다고 가정하고, 실시간 로그 분석을 통하여 클라이언트 디바이스(10)가 "10시 10분부터 1분동안 MS 워드로 15개의 문서를 오픈"하는 이벤트가 발생하고 있다면", 실시간 로그 분석부(120)는 상기 이벤트에 대하여 불법 행위가 발생되고 있어 보안 조치가 필요한 이벤트로 판단하여 상기 이벤트를 감지할 수 있다.
보안 조치가 필요한 이벤트가 감지되면, 실시간 로그 분석부(120)는 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성한다(단계:S3). 상기 로그 정보는 상기 수집된 로그들의 정보량보다 그 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함할 수 있다. 예를 들어, 상기 로그 정보는 이벤트와 연관된 어플리케이션 식별자, 대상 문서(파일)명, 액세스 종류, 액세스가 행해진 횟수를 나타내는 카운트 값, 이벤트 발생 시간, 이벤트 발생 기간 등을 포함할 수 있다.
도 4는 실시간 로그 분석부(120)에 의하여 문서 오픈 이벤트 시에 생성된 로그들에 대응하여 생성되는 로그 정보를 예시적으로 나타내는 예시도이다.
도 4에 도시된 바와 같이, 예컨대 어플리케이션 "노트 패드"를 이용하여 "a.txt"라는 텍스트 문서를 오픈하면 상기 오픈 이벤트에 대응하여 도 4의 왼쪽에 도시된 리스트에 도시된 바와 같은 다수 개의 로그들이 발생하게 된다. 실시간 로그 분석부(120)는 상기 로그들을 정해진 형식으로 정규화하여 "Notepad.exe open c:\\a.txt"와 같은 로그 정보를 생성할 수 있다. 상기 로그 정보는 어플리케이션 "notepad.exe"에서 "a.txt" 문서를 오픈했다는 이벤트의 내역을 나타내며, 다수 개의 로그들을 간략한 로그 정보로 변환했으므로 그 정보량이 훨씬 줄어든 것을 알 수 있다.
앞서도 언급한 바와 같이, 상기 로그 정보는 이벤트와 연관된 어플리케이션 식별자, 대상 문서(파일)명, 액세스 종류, 액세스가 행해진 횟수를 나타내는 카운트 값, 이벤트 발생 시간, 이벤트 발생 기간 등을 포함할 수 있으므로, 만약 "10시 10분부터 1분동안 MS워드로 15개의 문서를 오픈"하는 이벤트가 발생했다면, 실시간 로그 분석부(120)는 상기 이벤트에 따라 발생되는 수백 개 이상의 로그 정보를 정규화하여, 예컨대 "MSword.exe open c:\\b.doc pm10:10:01", "MSword.exe open c:\\c.doc pm10:10:02", "MSword.exe open c:\\d.doc pm10:10:04", …, "MSword.exe open c:\\f.doc pm10:11:00" 등과 같이 15개의 오픈 이벤트의 내역을 포함하는 로그 정보를 생성할 수 있다. 상기 생성된 로그 정보는 감지된 이벤트의 식별 정보 및 수집된 로그들과 연계되어 로컬 저장소(160)에 저장 및 관리된다.
이어서, 실시간 로그 분석부는 감지된 이벤트가 서버(20)에 상세 분석을 요청하여야 하는 위험 수준의 이벤트 인지를 판단할 수 있다(단계:S4). 즉, 실시간 로그 분석부(120)는 불법 행위의 위험성이 있는 것으로 판단되어 보안 조치가 필요한 이벤트로 감지된 이벤트에 대하여, 그 위험 수준에 따라 클라이언트 디바이스(10)에서 처리할지 아니면 서버(20) 단에 상세 분석을 요청할 것인지를 판단할 수 있다.
좀더 구체적으로, 실시간 로그 분석부(120)는 상기 이벤트에 대응하는 수집된 로그들을 분석하여 상기 이벤트의 위험 포인트를 생성하고, 이벤트 별 기준 포인트를 포함하는 기 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기분 포인트를 추출할 수 있다. 그리고 실시간 로그 분석부(120)는 상기 생성된 위험 포인트가 상기 추출된 기준 포인트 이상인지를 판단할 수 있다.
이때 실시간 로그 분석부(120)는 위험 포인트가 기준 포인트 이상일 경우, 상기 이벤트가 서버(20)에 상세 분석을 요청해야 할 만큼 위험 수준이 높은 이벤트로 판단하고, 위험 포인트가 기준 포인트 미만일 경우, 상기 이벤트가 클라이언트 디바이스(10)에서 자체적으로 처리해도 될만한 상대적으로 낮은 위험 수준의 이벤트로 판단할 수 있다.
여기서 상기 이벤트에서 추출되는 위험 포인트는, 예컨대 액세스를 행한 횟수인 카운트 값일 수 있다. 상기 기준 포인트는 서버(20)에 상세 분석을 요청하여야 할 최소 위험 포인트일 수 있다. 이러한 기준 포인트는 로컬 저장소의 룰 세트에 테이블 형태로 포함되어 관리될 수 있다.
예를 들면, 만약, "10시 10분부터 1분동안 MS워드로 15개의 문서를 오픈"하는 이벤트에서 위험 포인트는 "15"일 수 있다. 만약 "1분 동안 MS워드를 사용한 문서 오픈 횟수"의 기준 포인트가 "12"라면, 상기 이벤트의 위험 포인트가 기준 포인트 이상이므로 실시간 로그 분석부(120)는 상기 이벤트는 서버(20)에 상세 분석을 요청해야 할 높은 위험 수준의 이벤트로 판정될 수 있다.
반면, "1분 동안 MS워드를 사용한 문서 오픈 횟수"의 기준 포인트가 "30"라고 가정하면, 위험 포인트는 기준 포인트 미만이므로 실시간 로그 분석부(120)는 상기 이벤트의 위험 수준이 상세 분석을 요청할 만큼의 위험 수준보다는 낮은 것으로 판정할 수 있다. 이 경우 클라이언트 디바이스(10)에서 상기 이벤트에 자체적으로 보안 조치한다.
상기 판단의 결과 값은 로컬 제어부(140)로 전달될 수 있다. 로컬 제어부(140)는 실시간 로그 분석부(120)가 상기 이벤트에 대하여 서버(20)에 상세 분석을 요청할 것을 판단하는 경우, 상기 이벤트에 대응하는 정형화된 로그 정보를 포함하는 상세 분석 요청을 클라이언트 에이전트(160)를 통하여 서버(20)로 전송할 수 있다(단계:S6).
반면, 로컬 제어부(140)는 실시간 로그 분석부(120)가 상기 이벤트에 대하여 클라이언트 디바이스(10)에서 자체적으로 처리해도 될만한 낮은 위험 수준의 이벤트로 판단할 경우, 클라이언트 디바이스(10) 단에서 자체적인 보안 조치를 수행할 수 있는 보안 프로세스를 사용하여 실시간으로 즉시 이벤트에 대응할 수 있다(단계:S5). 상기 보안 프로세스는 예를 들어, PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 등일 수 있다.
도 5는 클라이언트 디바이스(10)에서 상세 분석 요청을 서버(20)로 전송한 이후의 동작 과정을 설명하기 위한 흐름도이다.
도 5에 도시된 바와 같이, 상세 분석 요청을 서버(20)로 전송한 이후, 클라이언트 디바이스(10)는 서버(20)로부터 상기 이벤트에 대응하는 로그들을 전송하라는 요청을 수신할 수 있다(단계:S11). 이러한 서버(20)의 요청은 클라이언트 디바이스(10)의 클라이언트 에이전트(160)를 통하여 수신된 후 로컬 제어부(140)로 전달된다.
그러면, 로컬 제어부(140)는 로컬 저장소(150)에 저장되어 있는 로그들을 추출하고(단계:S12), 추출된 로그들을 클라이언트 에이전트(160)를 통하여 서버(20)로 전송할 수 있다(단계:S13).
도 6은 적어도 하나 이상의 클라이언트 디바이스(10)와 연동하는 서버(20)의 구성을 나타내는 블록도이다.
도 6에 도시된 바와 같이, 서버(20)는 클라이언트 매니저(210), 상세 분석부(220), 서버 제어부(230) 및 서버 저장소(240) 등을 포함할 수 있다. 상기 클라이언트 매니저(210)는 클라이언트 디바이스(10)의 클라이언트 에이전트(160)와 연동하여 정보를 송수신할 수 있다. 상기 클라이언트 매니저(210)는 적어도 하나의 클라이언트 디바이스(10)들을 관리할 수 있다.
상세 분석부(220)는 클라이언트 디바이스(10)로부터 이벤트에 대한 상세 분석 요청이 수신되면, 상세 분석 요청에 포함되어 있는 로그 정보를 분석하여 관리자에게 사용자 인터페이스를 통하여 표시할 수 있다. 상세 분석부(220)는 상기 로그 정보에 대응하는 로그들을 클라이언트 디바이스(10)로 요청할 수 있으며, 클라이언트 디바이스(10)로부터 로그들이 수신되면 이를 서버 저장소(240)에 저장하고 상기 로그들을 상세 분석 알고리즘을 기반으로 분석할 수 있다.
서버 제어부(230)는 상기 상세 분석부(220)의 분석 결과를 기반으로 하여, 상기 이벤트에 대응하는 보안 조치를 결정하고, 결정된 보안 조치에 따라 클라이언트 디바이스(10)로 대응 지침을 전달할 수 있다. 서버 제어부(230)는 클라이언트 디바이스(10)에서 상세 분석을 요청한 이벤트의 이력, 상세 분석 분석 결과, 보안 조치 내역을 서버 저장소(240)에 저장하고 관리할 수 있다. 서버 저장소(240)에 저장된 이벤트의 이력, 상세 분석 결과, 보안 조치 내역은 사용자 인터페이스를 통하여 관리자가 조회 및 열람할 수 있다.
이와 같이, 본 발명에 따르면, 클라이언트 디바이스(10)는 클라이언트 디바이스(10)에서 발생하는 로그들을 모니터링하여 불법적인 행위의 가능성과 관련 있는 이벤트를 감지하고, 이벤트의 위험 수준이 높지 않을 경우네는 실시간으로 클라이언트 디바이스(10)에서 자체적으로 보안 조치를 수행하고, 위험 수준이 높을 경우에만 서버(20)로 상세 분석을 요청한다. 따라서, 불법적인 행위의 가능성이 있는 모든 이벤트에 대해서 서버(20)가 관여하지 않아도 되고, 일부분의 이벤트에 대해서만 정보량이 적은 정규화된 로그 정보가 전송되므로 서버(20)의 로드가 획기적으로 감소하게 된다. 또한 위험 수준이 낮은 이벤트에 대해서는 클라이언트 디바이스(10)에서 자체적으로 보안 조치가 수행되므로 신속한 대응이 가능하다.
이상 본 발명에 대하여 그 바람직한 실시예를 예시하여 설명하였지만 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구 범위에 기재된 본 발명의 기술적 사항 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시켜 실시할 수 있음을 이해할 수 있을 것이다. 따라서, 본 발명의 앞으로의 실시예들의 변경은 본 발명의 기술을 벗어날 수 없을 것이다.
AP : 어플리케이션
1 : 로그 분석을 기반으로 하는 보안 모니터링 시스템
10 : 클라이언트 디바이스
20 : 서버
100 : 보안 모니터링부
110 : 로그 수집부
120 : 실시간 로그 분석부
140 : 로컬 제어부
150 : 로컬 저장소
160 : 클라이언트 에이전트
210 : 클라이언트 매니터
220 : 상세 분석부
230 : 서버 제어부
240 : 서버 저장소

Claims (25)

  1. 클라이언트 디바이스에 의하여 수행되는 보안 모니터링 방법에 있어서,
    상기 클라이언트 디바이스에서 발생하는 로그들을 수집하는 단계;
    수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하는 단계;
    상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하는 단계;
    상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계; 및
    상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하는 단계 및 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 단계 중 어느 하나의 단계를 수행하는 단계를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
  2. 제 1 항에 있어서, 상기 보안 조치가 필요한 이벤트를 감지하는 단계는,
    상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
  3. 제 1 항에 있어서, 상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
  4. 제 3 항에 있어서, 상기 로그 정보는,
    어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함하는 것을 특징으로 하는 보안 모니터링 방법.
  5. 제 1 항에 있어서, 상기 감지된 이벤트가 상기 서버에 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계는,
    상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하는 단계;
    이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하는 단계; 및
    상기 위험 포인트가 상기 기준 포인트 이상인지를 판단하는 단계를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
  6. 제 5 항에 있어서, 상기 어느 하나의 단계를 수행하는 단계는,
    상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행하는 단계를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
  7. 제 1 항에 있어서, 상기 보안 조치를 수행하는 단계는,
    상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행하는 단계를 포함하고,
    상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
  8. 제 1 항에 있어서, 상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하는 단계;
    상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하는 단계; 및
    상기 서버에서 명령하는 보안 조치를 수행하는 단계를 더 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 방법.
  9. 클라이언트 디바이스에서 발생하는 로그들을 수집하는 로그 수집부;
    수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 실시간 로그 분석부; 및
    상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나, 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 로컬 제어부를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
  10. 제 9 항에 있어서, 상기 실시간 로그 분석부는,
    상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
  11. 제 9 항에 있어서, 상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
  12. 제 11 항에 있어서, 상기 로그 정보는,
    어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함하는 것을 특징으로 하는 보안 모니터링 장치.
  13. 제 9 항에 있어서, 상기 실시간 로그 분석부는,
    상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하고, 이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하고, 상기 위험 포인트가 상기 기준 포인트 이상인지를 판단하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
  14. 제 13 항에 있어서, 상기 로컬 제어부는,
    상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
  15. 제 9 항에 있어서, 상기 로컬 제어부는 상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행하고,
    상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
  16. 제 9 항에 있어서, 상기 로컬 제어부는,
    상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하고, 상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하고, 상기 서버에서 명령하는 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 장치.
  17. 클라이언트 디바이스; 및
    상기 클라이언트 디바이스와 연동하는 서버를 포함하고,
    상기 클라이언트 디바이스는,
    상기 클라이언트 디바이스에서 발생하는 로그들을 수집하고, 수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하고, 상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하고, 상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하고, 상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하거나, 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 시스템.
  18. 제 17 항에 있어서, 상기 클라이언트 디바이스는,
    상기 수집된 로그들을 실시간으로 분석하여 상기 이벤트가 미리 정해진 룰 셋을 위반하는 이벤트인지의 여부를 판단하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 시스템.
  19. 제 17 항에 있어서, 상기 로그 정보는 상기 수집된 로그들 보다 정보량이 작고, 상기 이벤트의 내역을 나타내는 정보를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 시스템.
  20. 제 19 항에 있어서, 상기 로그 정보는,
    어플리케이션 식별자, 대상 파일명, 액세스 종류, 카운트 값, 이벤트 발생 시간을 포함하는 것을 특징으로 하는 보안 모니터링 시스템.
  21. 제 17 항에 있어서, 상기 클라이언트 디바이스는,
    상기 수집된 로그들을 기반으로 하여 상기 이벤트의 위험 포인트를 생성하고, 이벤트 별 기준 포인트를 포함하는 미리 저장된 테이블을 조회하여 상기 이벤트에 대응하는 기준 포인트를 추출하고, 상기 위험 포인트가 상기 기준 포인트 이상인지를 판단하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 시스템.
  22. 제 21 항에 있어서, 상기 클라이언트 디바이스는,
    상기 위험 포인트가 상기 기준 포인트 이상인 경우 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하고, 상기 위험 포인트가 상기 기준 포인트 미만인 경우 상기 서버로의 분석 요청 없이 상기 클라이언트 디바이스에 의한 자체적인 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 시스템.
  23. 제 17 항에 있어서, 상기 클라이언트 디바이스는,
    상기 클라이언트 디바이스에 구비된 보안 프로세스를 수행하고,
    상기 보안 프로세스는 PC 잠금, 문서 데이터 백업, 경고 메시지 표시, 접근 차단 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 시스템.
  24. 제 17 항에 있어서, 상기 클라이언트 디바이스는,
    상세 분석을 수행하는 상기 서버로부터 상기 로그 정보에 대응하여 수집된 로그들의 전송 요청을 수신하고, 상기 전송 요청에 대응하여 상기 수집된 로그들을 상기 서버로 전송하고, 상기 서버에서 명령하는 보안 조치를 수행하는 것을 특징으로 하는 로그 분석을 기반으로 하는 보안 모니터링 시스템.
  25. 클라이언트 디바이스의 프로세서에 의하여 메모리에 로딩되어 수행되는 컴퓨터 프로그램으로서,
    상기 클라이언트 디바이스에서 발생하는 로그들을 수집하는 단계;
    수집된 상기 로그들을 실시간으로 분석하는 것을 기반으로 하여, 보안 조치가 필요한 이벤트를 감지하는 단계;
    상기 감지된 이벤트에 대응하는 로그들을 기반으로 하여 상기 이벤트에 대응하는 정규화된 로그 정보를 생성하는 단계;
    상기 감지된 이벤트가 서버에 상세 분석을 요청하여야 하는 위험 수준의 이벤트인지를 판단하는 단계; 및
    상기 판단을 기반으로 하여, 상기 서버로 상기 정규화된 로그 정보를 포함하는 상세 분석 요청을 전송하는 단계 및 상기 클라이언트 디바이스에 의한 보안 조치를 수행하는 단계 중 어느 하나의 단계를 수행하는 단계를 실행시키는 컴퓨터 프로그램.
KR1020150160240A 2015-11-16 2015-11-16 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템 KR102098064B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150160240A KR102098064B1 (ko) 2015-11-16 2015-11-16 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150160240A KR102098064B1 (ko) 2015-11-16 2015-11-16 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템

Publications (2)

Publication Number Publication Date
KR20170056876A true KR20170056876A (ko) 2017-05-24
KR102098064B1 KR102098064B1 (ko) 2020-04-07

Family

ID=59051362

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150160240A KR102098064B1 (ko) 2015-11-16 2015-11-16 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템

Country Status (1)

Country Link
KR (1) KR102098064B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190111261A (ko) * 2018-03-22 2019-10-02 주식회사 이글루시큐리티 블록체인 기술을 활용한 보안관제 시스템 및 그 방법
KR102454948B1 (ko) * 2021-11-01 2022-10-17 주식회사 지엔 IoT 기기 점검 방법 및 그 장치
KR102542720B1 (ko) * 2022-10-27 2023-06-14 주식회사 이노티움 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템
CN116366308A (zh) * 2023-03-10 2023-06-30 广东堡塔安全技术有限公司 一种基于云计算的服务器安全监控系统
WO2023229065A1 (ko) * 2022-05-26 2023-11-30 시큐레터 주식회사 리버싱 엔진과 cdr 엔진을 활용한 악성 비실행 파일 차단 방법 및 장치

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102658384B1 (ko) * 2021-10-12 2024-04-18 한전케이디엔주식회사 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050095399A (ko) 2004-03-26 2005-09-29 현대자동차주식회사 차량용 토션 바의 방진구조
KR20110033018A (ko) * 2009-09-22 2011-03-30 한국전자통신연구원 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치
KR20110074820A (ko) * 2009-12-26 2011-07-04 인텔 코오퍼레이션 보안 이벤트들을 관리하기 위한 방법 및 디바이스
KR101404882B1 (ko) * 2013-01-24 2014-06-11 주식회사 이스트시큐리티 행위를 기반으로 한 악성코드 분류시스템 및 분류방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050095399A (ko) 2004-03-26 2005-09-29 현대자동차주식회사 차량용 토션 바의 방진구조
KR20110033018A (ko) * 2009-09-22 2011-03-30 한국전자통신연구원 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치
KR20110074820A (ko) * 2009-12-26 2011-07-04 인텔 코오퍼레이션 보안 이벤트들을 관리하기 위한 방법 및 디바이스
KR101404882B1 (ko) * 2013-01-24 2014-06-11 주식회사 이스트시큐리티 행위를 기반으로 한 악성코드 분류시스템 및 분류방법

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190111261A (ko) * 2018-03-22 2019-10-02 주식회사 이글루시큐리티 블록체인 기술을 활용한 보안관제 시스템 및 그 방법
KR102454948B1 (ko) * 2021-11-01 2022-10-17 주식회사 지엔 IoT 기기 점검 방법 및 그 장치
WO2023075500A1 (ko) * 2021-11-01 2023-05-04 주식회사 지엔 Iot 기기 점검 방법 및 그 장치
WO2023229065A1 (ko) * 2022-05-26 2023-11-30 시큐레터 주식회사 리버싱 엔진과 cdr 엔진을 활용한 악성 비실행 파일 차단 방법 및 장치
KR102542720B1 (ko) * 2022-10-27 2023-06-14 주식회사 이노티움 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템
CN116366308A (zh) * 2023-03-10 2023-06-30 广东堡塔安全技术有限公司 一种基于云计算的服务器安全监控系统
CN116366308B (zh) * 2023-03-10 2023-11-03 广东堡塔安全技术有限公司 一种基于云计算的服务器安全监控系统

Also Published As

Publication number Publication date
KR102098064B1 (ko) 2020-04-07

Similar Documents

Publication Publication Date Title
KR102098064B1 (ko) 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템
US10701091B1 (en) System and method for verifying a cyberthreat
CN102171657B (zh) 实体信誉评分的简化传送
US10893068B1 (en) Ransomware file modification prevention technique
Jung et al. Ransomware detection method based on context-aware entropy analysis
TW201250512A (en) Threat level assessment of applications
US20130198827A1 (en) Service compliance enforcement using user activity monitoring and work request verification
CN112926048B (zh) 一种异常信息检测方法和装置
CN111416811A (zh) 越权漏洞检测方法、系统、设备及存储介质
WO2019026310A1 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JPWO2005048119A1 (ja) 不正操作判定システム、不正操作判定方法及び不正操作判定プログラム
JP2021027505A (ja) 監視装置、監視方法、および監視プログラム
WO2015121923A1 (ja) ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法
Zeng et al. Linux auditing: Overhead and adaptation
CN110955890B (zh) 恶意批量访问行为的检测方法、装置和计算机存储介质
CN114238036A (zh) 一种saas平台异常实时的监控方法及装置
US20240111809A1 (en) System event detection system and method
JP7100607B2 (ja) 異常検知システム、及び異常検知方法
US11321481B1 (en) Method for determining to grant or deny a permission request based on empirical data aggregation
JP6258189B2 (ja) 特定装置、特定方法および特定プログラム
JP7235109B2 (ja) 評価装置、システム、制御方法、及びプログラム
JP2008269420A (ja) コンピュータにおけるリスク管理方法とリスク管理プログラム、及びその方法を実施するリスク管理システム
JP2015055960A (ja) 監視装置及び情報処理システム及び監視方法及びプログラム
CN114024867B (zh) 网络异常检测方法及装置
CN115514531B (zh) 数据劫持告警方法、系统、电子设备及存储介质

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant