KR20170077540A - 로그 관리 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체 - Google Patents

로그 관리 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체 Download PDF

Info

Publication number
KR20170077540A
KR20170077540A KR1020150187503A KR20150187503A KR20170077540A KR 20170077540 A KR20170077540 A KR 20170077540A KR 1020150187503 A KR1020150187503 A KR 1020150187503A KR 20150187503 A KR20150187503 A KR 20150187503A KR 20170077540 A KR20170077540 A KR 20170077540A
Authority
KR
South Korea
Prior art keywords
account
log
predetermined external
checking
log data
Prior art date
Application number
KR1020150187503A
Other languages
English (en)
Other versions
KR101826728B1 (ko
Inventor
장요한
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020150187503A priority Critical patent/KR101826728B1/ko
Publication of KR20170077540A publication Critical patent/KR20170077540A/ko
Application granted granted Critical
Publication of KR101826728B1 publication Critical patent/KR101826728B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 로그 관리 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체에 관한 것이다.
본 발명에 따른 로그 관리 방법은, 보안 장치에 의해 검출된 로그 데이터를 수신하는 단계, 상기 로그 데이터가 관리 대상 로그인 경우, 상기 로그 데이터에 대한 중요도 또는 긴급도 중 적어도 어느 하나를 판단하는 단계, 상기 로그 데이터에 대한 중요도 또는 긴급도 참조로 하여 상기 로그 데이터를 전송용 로그로 분류하는 단계, 상기 로그 데이터가 전송용 로그로 분류되면, 기설정된 외부 계정의 적합성을 검사하는 단계 및 상기 기설정된 외부의 계정이 적합한 것으로 판단되면, 상기 로그 데이터를 상기 기설정된 외부 계정으로 전송하는 단계를 포함할 수 있다.

Description

로그 관리 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체{METHOD, SYSTEM AND COMPUTER-READABLE RECORDING MEDIUM FOR MANAGING LOG DATA}
본 발명은 로그 관리 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체에 관한 것이다.
통합 위협 관리(unified threat management, UTM) 장치는 다중 위협에 대해 보호 기능을 제공할 수 있는 포괄적 보안 장치를 의미한다. 이러한 UTM 장치에는 통상 방화벽, 앤티바이러스 소프트웨어, 콘텐츠 필터링 그리고 스팸 필터 등이 하나의 패키지로 통합되어 있다.
또한, 로그 데이터는 프로세스의 경과된 상태를 모은 데이터로서 동작이나 동작 상황을 기록한 것이다. 일반적으로 네트워크 보안 장치에서 생성되는 로그 데이터는 네트워크 보안 장치를 경유하여 내부 네트워크로 액세스하거나, 내부 네트워크로부터 외부 네트워크로 액세스할 때 생성 및 기록되며, 상기 네트워크 보안 장치의 종류에 따라 방화벽 로그, IDS 로그, IPS 로그 등을 포함할 수 있다.
로그 데이터는 시작시간, 종료시간, 출발지 IP 주소, 출발지 포트, 목적지 IP 주소, 목적지 포트, 정책 ID, 프로토콜 등에 관한 필드들을 포함할 수 있다.
방화벽 장비와 같은 네트워크 보안 장비를 이용함에 있어서, 관리자가 로그를 분석하여 어떤 IP나 포트를 차단 또는 허용하여야 할지 판단하여 보안 정책에 반영하게 되므로, 수집된 로그를 효율적으로 관리하고 분석하는 것이 중요하다.
본 발명은 네트워크를 관리함에 있어서 필수적인 데이터를 안정적으로 관리자에 제공하는 것을 그 목적으로 한다.
본 발명의 일 실시예에 따르면, 보안 장치에 의해 검출된 로그 데이터를 수신하는 단계, 상기 로그 데이터가 관리 대상 로그인 경우, 상기 로그 데이터에 대한 중요도 또는 긴급도 중 적어도 어느 하나를 판단하는 단계, 상기 로그 데이터에 대한 중요도 또는 긴급도 참조로 하여 상기 로그 데이터를 전송용 로그로 분류하는 단계, 상기 로그 데이터가 전송용 로그로 분류되면, 기설정된 외부 계정의 적합성을 검사하는 단계 및 상기 기설정된 외부의 계정이 적합한 것으로 판단되면, 상기 로그 데이터를 상기 기설정된 외부 계정으로 전송하는 단계를 포함하는 로그 관리 방법을 제공한다.
또한, 본 발명의 다른 실시예에 따르면, 보안 장치에 의해 검출된 로그 데이터를 수신하는 로그 수신부, 상기 로그 데이터가 관리 대상 로그인 경우, 상기 로그 데이터에 대한 중요도 또는 긴급도 중 적어도 어느 하나를 판단하고, 상기 로그 데이터에 대한 중요도 또는 긴급도 참조로 하여 상기 로그 데이터를 전송용 로그로 분류하는 전송용 로그 판단부, 기설정된 외부 계정의 적합성을 검사하여 상기 기설정된 외부의 계정이 적합한 것으로 판단되면, 상기 전송용 로그에 대한 정보를 상기 기설정된 외부 계정으로 전송하는 계정 적합성 검사부를 포함하는 로그 관리 시스템을 제공한다.
이 외에도, 본 발명을 구현하기 위한 다른 방법, 다른 시스템 및 상기 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 컴퓨터 판독 가능한 기록 매체가 더 제공된다.
본 발명에 의하면, 한정된 장소 또는 한정된 브라우저를 통해 로그 정보에 접근할 수 있었던 제약을 해소할 수 있다.
본 발명에 의하면, 특정 장비에만 로그를 저장할 수 밖에 없던 제약을 해소할 수 있다.
본 발명에 의하면, 실시간 로그를 제공받음에 따라 네트워크 관리자의 관리 편의성을 증대시킬 수 있다.
도 1은 본 발명의 일 실시예에 따라 소정의 보안 장치에 의해 검출되는 로그 데이터를 관리하기 위한 전체 시스템의 개략적인 구성을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 로그 관리 시스템의 내부 구성을 상세하게 도시하는 도면이다.
도 3은 본 발명의 일 실시예에 따른 로그 관리 시스템에서 수행되는 전송용 로그 판단 처리 과정을 예시적으로 나타내는 도면이다.
도 4는 본 발명의 일 실시예에 따른 로그 관리 시스템에서 수행되는 외부 계정 적합성 판단 처리 과정을 예시적으로 나타내는 도면이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이러한 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 본 명세서에 기재되어 있는 특정 형상, 구조 및 특성은 본 발명의 정신과 범위를 벗어나지 않으면서 일 실시예로부터 다른 실시예로 변경되어 구현될 수 있다. 또한, 각각의 실시예 내의 개별 구성요소의 위치 또는 배치도 본 발명의 정신과 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 행하여지는 것이 아니며, 본 발명의 범위는 특허청구범위의 청구항들이 청구하는 범위 및 그와 균등한 모든 범위를 포괄하는 것으로 받아들여져야 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 구성요소를 나타낸다.
이하에서는, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 여러 바람직한 실시예에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
전체 시스템의 구성
도 1은 본 발명의 일 실시예에 따라 소정의 보안 장치에 의해 검출되는 로그 데이터를 관리하기 위한 전체 시스템의 개략적인 구성을 나타내는 도면이다.
도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 전체 시스템(1)은 통신망(100), 로그 관리 시스템(200), 관리자 단말 장치(300), 보안 장치(400) 및 내부망 호스트(500)를 포함하여 구성될 수 있다.
먼저, 본 발명의 일 실시예에 따른 통신망(100)은 유선 또는 무선 통신의 양태로 구성될 수 있으며 WAN(Wide Area Network), LAN(Local Area Network), 이동 통신망, 인공 위성 통신망 등 다양한 통신망으로 구성될 수 있다. 보다 구체적으로, 본 발명에서 말하는 통신망(100)은 IEEE 802.11, CDMA(Code Division Multiple Access), WCDMA(Wideband Code Division Multiple Access), GSM(Global System for Mobile communications), LTE(Long Term Evolution) 등의 기술에 의하여 구현되는 무선 통신망을 포함할 수도 있다. 그러나, 통신망(100)은, 굳이 이에 국한될 필요 없이, 공지의 유무선 데이터 통신망, 공지의 전화망 또는 공지의 유무선 텔레비전 통신망을 그 적어도 일부에 있어서 포함할 수도 있다.
다음으로, 본 발명의 일 실시예에 따른 로그 관리 시스템(200)은 보안 장치(400)으로부터 로그 데이터를 획득하여 분석하며, 관리자에 의하여 기설정된 외부 계정의 적합성을 판단하여 분석한 로그 데이터 정보를 전달하는 기능을 수행할 수 있다.
본 발명에 따른 로그 관리 시스템(200)의 구성과 기능에 관하여는 아래의 상세한 설명을 통하여 자세하게 알아보기로 한다.
다음으로, 본 발명의 일 실시예에 따른 관리자 단말 장치(300)는 로그 관리 시스템(200)이나 보안 장치(400)에 접속한 후 통신할 수 있는 기능을 포함하는 디지털 기기로서, 데스크탑 컴퓨터, 노트북 컴퓨터, 워크스테이션, PDA, 웹 패드, 이동 전화기 등과 같이 메모리 수단을 구비하고 마이크로 프로세서를 탑재하여 연산 능력을 갖춘 디지털 기기라면 얼마든지 본 발명에 따른 관리자 단말 장치(300)로서 채택될 수 있다.
특히, 관리자 단말 장치(300)에는 관리자가 로그 관리 시스템(200)으로부터 로그 데이터를 제공 받을 수 있도록 하는 소정의 프로그램이 포함되어 있을 수 있다.
다음으로, 본 발명의 일 실시예에 따른 보안 장치(400)은 외부망(도 1에서는 통신망(100)에 해당)을 경유하여 유입되거나 또는 보안 장치(400)에 연결된 내부 호스트(500)로부터 출입되는 로그를 수집하는 기능을 수행할 수 있다.
로그 관리 시스템의 구성
이하에서는, 본 발명에 따른 로그 관리 시스템의 내부 구성과 각 구성요소의 기능에 대하여 살펴보기로 한다.
도 2는 본 발명의 일 실시예에 따른 로그 관리 시스템의 내부 구성을 상세하게 도시하는 도면이다.
도 2에 도시된 바와 같이, 본 발명의 일 실시예에 따른 로그 관리 시스템(200)은 로그 수신부(210), 전송용 로그 판단부(220), 계정 적합성 검사부(230), 데이터베이스(240), 통신부(250) 및 제어부(260)를 포함하여 구성될 수 있다.
본 발명의 일 실시예에 따르면, 로그 수신부(210), 전송용 로그 판단부(220), 계정 적합성 검사부(230), 데이터베이스(240), 통신부(250) 및 제어부(260)는 그 중 적어도 일부가 관리자 단말 장치(300)나 보안 장치(400)와 통신하는 프로그램 모듈일 수 있다.  이러한 프로그램 모듈은 운영 시스템, 응용 프로그램 모듈 또는 기타 프로그램 모듈의 형태로 로그 관리 시스템(200)에 포함될 수 있고, 물리적으로는 여러 가지 공지의 기억 장치에 저장될 수 있다.  또한, 이러한 프로그램 모듈은 로그 관리 시스템(200)과 통신 가능한 원격 기억 장치에 저장될 수도 있다.  한편, 이러한 프로그램 모듈은 본 발명에 따라 후술할 특정 업무를 수행하거나 특정 추상 데이터 유형을 실행하는 루틴, 서브루틴, 프로그램, 오브젝트, 컴포넌트, 데이터 구조 등을 포괄하지만, 이에 제한되지는 않는다.
먼저, 본 발명의 일 실시예에 따른 로그 수신부(210)는 보안 장치(400)으로부터 로그를 수신하여 수집하는 기능을 수행할 수 있다. 로그 수신부(210)는 보안 장치로부터 수신한 로그를 전송용 로그 판단부(220)로 전달한다.
다음으로, 본 발명의 일 실시예에 따른 전송용 로그 판단부(220)는 로그 수신부(210)에서 수신한 로그 데이터를 전달 받아, 관리자에게 전송하여야 할 로그 데이터에 해당하는지 여부, 즉 전송용 로그인지를 판단하는 기능을 수행할 수 있다.
상세하게 설명하면, 먼저 전송용 로그 판단부(220)는 로그 수신부(210)를 통해 유입된 로그가 관리 대상 로그인지 여부를 판단한다. 이때, 관리 대상 로그인지 여부를 판단하는 기준은 제한적이지 않으며, 관리자의 설정에 의할 수 있다.
전송용 로그 판단부(220)가 유입된 로그가 관리 대상 로그인 것으로 판단하면, 다음으로 전송용 로그 판단부(220)는 유입된 로그의 중요도를 판단한다. 이때, 로그의 중요도를 판단하는 기준은 제한적이지 않으며, 로그 타입 별로 관리자 또는 장비에서 가점을 부여하여 정의될 수 있다. 이 경우, 소정의 기준점 이상인 경우 중요도 있는 로그로 판단하고, 소정의 기준점 미만인 경우 그렇지 않은 로그로 판단할 수 있다.
전송용 로그 판단부(220)는 유입된 로그가 중요도 있는 로그로 판단되는 경우, 유입된 로그가 전송용 로그인 것으로 판단한다.
이와 달리, 유입된 로그가 중요도 있는 로그로 판단되지 않은 경우, 전송용 로그 판단부(220)는 유입된 로그에 대한 긴급도를 판단한다. 이때, 로그의 긴급도를 판단하는 기준은 제한적이지 않으며, 예를 들어 보안 장치에 의하여 관리되는 네트워크의 유지에 심각한 영향을 줄 수 있는 로그로 판단될 때의 가중치에 따라 판단될 수 있다.
전송용 로그 판단부(220)는 유입된 로그가 긴급도 있는 로그인 것으로 판단되면, 유입된 로그가 중요도 있는 로그가 아니더라도 전송용 로그인 것으로 판단할 수 있다.
즉, 전송용 로그 판단부(220)는 유입된 로그가 i) 관리 대상 로그이고 중요도 있는 로그인 경우, 또는 ii) 관리 대상 로그이고 중요도 있는 로그는 아니지만 긴급한 로그인 경우, 전송용 로그인 것으로 판단할 수 있다.
다음으로, 본 발명의 일 실시예에 따른 계정 적합성 검사부(230)는 전송용 로그 판단부(220)에 의하여 유입된 로그가 전송용 로그인 것으로 분류되면, 유입된 로그에 대한 정보를 전달할 외부 계정의 적합성을 검사하는 기능을 수행할 수 있다. 이때 외부 계정은 관리자 본인의 계정일수도 있으나 이에 제한되는 것은 아니며, 관리자에 의해 설정된 계정일수도 있다.
한편, 외부 계정의 종류는 제한적인 것은 아니나, 예를 들어 이메일(e-mail), 시스템 로그(syslog), 간이 망 프로토콜(Simple Network Management Protocol, SNMP), 소셜 네트워크 서비스(Social Networking Service, SNS) 및 단문 메세지 서비스(Short Message Service, SMS)에 대한 계정 등일 수 있다.
관리자에 의하여 전송용 로그가 전송될 외부 계정으로서, 이메일, 시스템 로그, 간이 망 프로토콜, 소셜 네트워크 서비스 및 단문 메세지 서비스에 대한 계정들 중 적어도 어느 하나가 등록될 수 있다.
상술한 바와 같이 계정의 종류가 다양한 바, 계정 적합성 검사부(230)는 계정의 종류에 따라 적합성 여부를 달리 판단할 수 있다.
예를 들어, 이메일 계정인 경우 계정 적합성 검사부(230)는 먼저 이메일 계정에 대응하는 도메인 네임 서비스의 적합성 검사하고, 이것이 적합한 것으로 판단되면 메일 서버의 적합성을 검사한다.
다음으로, 메일 서버가 적합하면 상기 이메일 계정으로 테스트 이메일을 전송함으로써 최종적으로 상기 이메일 계정이 적합한지 여부를 판단할 수 있다.
계정 적합성 검사부(230)는 이메일 계정에 대한 적합성 검사 종료 후 이메일 계정이 적합한 것으로 판단되면 전송용 로그를 적합성 검사 완료된 이메일 계정으로 전송한다.
이와 달리, 계정 적합성 검사부(230)는, 도메인 네임 서비스나 메일 서버 중 적어도 어느 하나가 적합하지 않은 것으로 판단되면 상기 이메일 계정은 부적합한 것으로 판단하며, 따라서 전송용 로그 정보를 전달하지 않는다.
또 다른 예로, 외부 계정이 시스템 로그 계정 또는 간이 망 프로토콜 계정 중 어느 하나인 경우, 계정 적합성 검사부(230)는 시스템 로그 계정 또는 간이 망 프로토콜 계정의 할당 아이피(Internet Protocol, IP)로 핑(Ping) 테스트를 수행할 수 있다.
계정 적합성 검사부(230)는 핑 테스트가 정상적으로 수행되면 로그 데이터를 소정의 형식(예를 들어, CSV, TSV, WELF, BIN 등)으로 변환할 수 있다. 다음으로, 상기 시스템 로그 계정 또는 간이 망 프로토콜 계정으로 테스트 메세지를 전송함으로써 최종적으로 상기 시스템 로그 계정 또는 간이 망 프로토콜 계정이 적합한지 여부를 판단할 수 있다.
계정 적합성 검사부(230)는 시스템 로그 계정 또는 간이 망 프로토콜 계정에 대한 적합성 검사 종료 후, 시스템 로그 계정 또는 간이 망 프로토콜 계정이 적합한 것으로 판단되면 전송용 로그를 적합성 검사 완료된 시스템 로그 계정 또는 간이 망 프로토콜 계정으로 계정으로 전송한다.
이와 달리 계정 적합성 검사부(230)는 핑 테스트가 정상적으로 수행되지 않는 경우, 상기 시스템 로그 계정 또는 간이 망 프로토콜 계정이 부적합한 것으로 판단하며, 따라서 전송용 로그 정보를 전달하지 않는다.
또 다른 예로, 외부 계정이 소셜 네트워크 서비스 계정인 경우, 먼저 계정 적합성 검사부(230)는 상기 소셜 네트워크 서비스 계정에 대한 어드민 키(Admin Key)가 발급되도록 할 수 있다. 어드민 키가 정상적으로 발급되면 계정 적합성 검사부(230)는 어드민 키를 이용하여 상기 소셜 네트워크 서비스 계정이 액티브한 계정인지 여부를 검사할 수 있다.
계정 적합성 검사부(230)는 상기 소셜 네트워크 서비스 계정이 액티브한 것으로 판단되면 상기 소셜 네트워크 서비스 계정으로 테스트 메세지를 전송함으로써 최종적으로 상기 소셜 네트워크 서비스 계정의 적합성을 판단할 수 있다.
계정 적합성 검사부(230)는 소셜 네트워크 서비스 계정에 대한 적합성 검사 종료 후 소셜 네트워크 서비스 계정이 적합한 것으로 판단되면 전송용 로그를 적합성 검사 완료된 소셜 네트워크 서비스 계정으로 전송한다.
이와 달리, 계정 적합성 검사부(230)는 어드민 키가 정상적으로 발급되지 않거나 상기 소셜 네트워크 서비스 계정이 액티브한 것이 아닌 것으로 판단되는 경우, 상기 소셜 네트워크 서비스 계정이 부적합한 것으로 판단하며, 따라서 전송용 로그 정보를 전달하지 않는다.
또 다른 예로, 외부 계정이 단문 메세지 서비스에 대한 계정인 경우, 계정 적합성 검사부(230)는 상기 단문 메세지 서비스를 제공하는 소정의 통신사에 접근하여 상기 단문 메세지 서비스에 대한 계정이 소정의 통신사에 가입된 사용자의 것인지 여부를 확인할 수 있다.
계정 적합성 검사부(230)는 소정의 통신사로부터 상기 단문 메세지 서비스에 대한 계정의 사용자가 소정의 통신사의 사용자로서 등록되어 있음을 확인 받으면, 상기 단문 메세지 서비스의 계정으로 테스트 메세지를 전송함으로써 최종적으로 상기 단문 메세지 서비스 계정의 적합성을 판단할 수 있다.
계정 적합성 검사부(230)는 단문 메세지 서비스 계정에 대한 적합성 검사 종료 후 단문 메세지 서비스 계정이 적합한 것으로 판단되면 전송용 로그를 적합성 검사 완료된 단문 메세지 서비스 계정으로 전송한다.
이와 달리, 계정 적합성 검사부(230)는 소정의 통신사로부터 상기 계정의 사용자가 소정의 통신사의 사용자로서 등록되어 있지 않다는 정보를 획득하면 상기 단문 메세지 서비스 계정이 부적합한 것으로 판단하며, 따라서 전송용 로그 정보를 전달하지 않는다.
다음으로, 본 발명의 일 실시예에 따른 데이터베이스(240)에는, 로그 파일, 관리 대상 로그, 중요도 및 긴급도를 판단하는 기준 등과 같은 정보가 저장될 수 있다. 비록 도 2에서 데이터베이스(240)가 로그 관리 시스템(200)에 포함되어 구성되는 것으로 도시되어 있지만, 본 발명을 구현하는 당업자의 필요에 따라, 데이터베이스(240)는 로그 관리 시스템(200)과 별개로 구성될 수도 있다. 한편, 본 발명에서의 데이터베이스(240)는, 컴퓨터 판독 가능한 기록 매체를 포함하는 개념으로서, 협의의 데이터베이스뿐만 아니라 파일 시스템에 기반을 둔 데이터 기록 등을 포함하는 광의의 데이터베이스일 수도 있으며, 단순한 로그의 집합이라도 이를 검색하여 데이터를 추출할 수 있다면 본 발명에서의 데이터베이스(240)가 될 수 있다.
다음으로, 본 발명의 일 실시예에 따른 통신부(250)는 로그 수신부(210), 전송용 로그 판단부(220), 계정 적합성 검사부(230) 및 데이터베이스(240)로부터의/로의 데이터 송수신이 가능하도록 하는 기능을 수행할 수 있다.
마지막으로, 본 발명의 일 실시예에 따른 제어부(260)는 로그 수신부(210), 전송용 로그 판단부(220), 계정 적합성 검사부(230), 데이터베이스(240) 및 통신부(250) 간의 데이터의 흐름을 제어하는 기능을 수행할 수 있다. 즉, 본 발명에 따른 제어부(250)는 로그 관리 시스템(200)의 외부로부터의/로의 데이터 흐름 또는 로그 관리 시스템(200)의 각 구성요소 간의 데이터 흐름을 제어함으로써, 로그 수신부(210), 전송용 로그 판단부(220), 계정 적합성 검사부(230), 데이터베이스(240) 및 통신부(250)에서 각각 고유 기능을 수행하도록 제어할 수 있다.
도 3은 본 발명의 일 실시예에 따른 로그 관리 시스템에서 수행되는 전송용 로그 판단 처리 과정을 예시적으로 나타내는 도면이다.
단계 S310에서는 보안 장치(400)에서 획득한 로그가 로그 관리 시스템(200)으로 유입될 때까지 대기할 수 있다.
단계 S320에서는 로그 관리 시스템으로 로그가 유입되면, 로그 관리 시스템(200)이 유입된 로그가 관리 대상 로그인지 판단할 수 있다.
단계 S330에 의하여 유입된 로그가 관리 대상 로그인 경우 단계 S340가 수행되도록 하고, 유입된 로그가 관리 대상 로그가 아닌 경우 로그가 유입될 때까지 대기하는 단계 S310이 다시 수행될 수 있다.
단계 S340에서는 로그 관리 시스템(200)이 관리 대상으로 판단된 로그가 중요도 있는 로그인지 아닌지 여부를 판단할 수 있다. 로그 관리 시스템(200)은 관리 대상으로 판단된 로그가 중요도 있는 로그인 경우 단계 S350이 수행되도록 하고, 관리 대상으로 판단된 로그가 중요도 있는 로그가 아닌 경우 단계 S360이 수행되도록 할 수 있다.
단계 S350에서는 유입된 로그가 관리 대상이자 중요도 있는 로그이면 전송용 로그인 것으로 설정되도록 할 수 있다.
단계 S360에서는 로그 관리 시스템(200)이 관리 대상으로 판단되었으나 중요도 있는 로그로 판단되지 않은 로그에 대하여 긴급도 있는 로그인지 아닌지 여부를 판단할 수 있다. 로그 관리 시스템(200)은 상기 로그가 긴급도 있는 로그인 경우 단계 S350이 수행되도록 하고, 긴급도 있는 로그가 아닌 경우 로그가 유입될 때까지 대기하는 단계 S310이 다시 수행되도록 할 수 있다.
도 4는 본 발명의 일 실시예에 따른 로그 관리 시스템에서 수행되는 외부 계정 적합성 검사 과정을 예시적으로 나타내는 도면이다.
단계 S400에서는 전송용 로그 정보를 전달받기 위한 것으로서, 관리자에 의하여 기설정된 계정이 존재하는지 여부를 판단할 수 있다. 기설정된 계정이 존재하면 단계 S410이 수행되도록 하고, 기설정된 계정이 존재하지 않으면 계정 적합성 검사를 종료한다.
단계 S410에서는 기설정된 계정이 이메일 계정인지 여부를 판단할 수 있다. 이메일 계정이면 단계 S411이 수행되도록 하고, 이메일 계정이 아닌 것으로 판단하면 단계 S420이 수행되도록 한다.
단계 S411에서는 기설정된 계정이 이메일 계정인 경우, 이메일 계정을 발급한 도메인 네임 서비스(DNS)가 적합한지 여부를 판단할 수 있다. 도메인 네임 서비스(DNS)가 적합하면 단계 S412가 수행되도록 하고, 적합하지 않으면 계정 적합성 검사를 종료한다.
단계 S412에서는 이메일 서비스를 제공하는 서버의 적합성을 판단할 수 있다. 서버가 적합하면 단계 S413이 수행되도록 하고 적합하지 않으면 계정 적합성 검사를 종료한다.
단계 S413에서는 해당 이메일 계정으로 테스트 메일을 전송함으로써 계정 적합성 검사를 완료할 수 있다.
단계 S420에서는 기설정된 계정이 이메일 계정이 아닌 경우, 시스템 로그 계정(syslog) 또는 간이 망 프로토콜(snmp) 계정에 해당하는지 여부를 판단할 수 있다. 시스템 로그 계정(syslog) 또는 간이 망 프로토콜(snmp) 계정이면 단계 S421이 수행되도록 하고, 시스템 로그 계정(syslog) 또는 간이 망 프로토콜(snmp) 계정이 아닌 것으로 판단하면 단계 S430이 수행되도록 한다.
단계 S421에서는 기설정된 계정이 시스템 로그 계정(syslog) 또는 간이 망 프로토콜(snmp) 계정인 경우 할당 IP에 대한 핑 테스트가 정상적으로 수행되는지 여부를 판단할 수 있다. 핑 테스트가 정상적으로 수행되면 단계 S422가 수행되도록 하고, 적합하지 않으면 계정 적합성 검사를 종료한다.
단계 S422에서는 로그 데이터를 소정의 형식(예를 들어, CSV, TSV, WELF, BIN 등)으로 변환하고, 단계 S423에서 시스템 로그 계정(syslog) 또는 간이 망 프로토콜(snmp) 계정으로 테스트 메세지를 전송함으로써 계정 적합성 검사를 완료할 수 있다.
단계 S430에서는 기설정된 계정이 이메일 계정, 시스템 로그 계정(syslog) 또는 간이 망 프로토콜(snmp) 계정에 모두 해당하지 않는 경우, SNS 계정에 해당하는지 여부를 판단할 수 있다. SNS 계정에 해당하면 단계 S431이 수행되도록 하고, SNS 계정이 아닌 것으로 판단하면 단계 S440이 수행되도록 한다.
단계 S431에서는 기설정된 계정이 SNS 계정인 경우, SNS 계정에 대한 어드민 키가 발급되도록 하며, 어드민 키 발급이 정상적으로 수행되는지 여부를 판단할 수 있다. 어드민 키가 정상적으로 발급되면 단계 S432가 수행되도록 하고, 적합하지 않으면 계정 적합성 검사를 종료한다.
단계 S432에서는 어드민 키를 이용하여 SNS 계정이 액티브한 계정인지 여부를 판단할 수 있다. SNS 계정이 액티브한 계정이면 단계 S433이 수행되도록 하고, 아닌 경우 계정 적합성 검사를 종료한다.
단계 S433에서는 SNS 계정이 액티브한 계정인 경우, SNS 계정으로 테스트 메세지를 전송함으로써 계정 적합성 검사를 완료할 수 있다.
단계 S440에서는 기설정된 계정이 이메일 계정, 시스템 로그 계정(syslog) 또는 간이 망 프로토콜(snmp) 계정 및 SNS 계정에 모두 해당하지 않는 경우, SMS에 대한 계정인지 여부를 판단할 수 있다. SMS에 대한 계정에 해당하면 단계 S441이 수행되도록 하고, SMS 계정이 아닌 것으로 판단하면 계정 적합성 검사를 종료한다.
단계 S441에서는 SMS를 제공하는 소정의 통신사에 접근하여 SMS에 대한 계정이 소정의 통신사에 가입된 사용자의 것인지 여부를 확인하며, 소정의 통신사로부터 SMS에 대한 계정의 사용자가 소정의 통신사의 사용자로서 등록되어 있음을 확인 받으면 단계 S442가 수행되도록 하며, 그렇지 못한 경우 계정 적합성 검사를 종료한다.
단계 S442에서는 SMS 계정으로 테스트 메세지를 전송함으로써 계정 적합성 검사를 완료할 수 있다.
한편, 본 명세서에서는 설명의 편의를 위하여, 이메일 계정, 시스템 로그 계정(syslog) 또는 간이 망 프로토콜(snmp) 계정, SNS 계정, SMS 계정의 순서로 기설정된 계정의 종류를 판별하는 것으로 상정하여 설명하였으나 이에 제한되는 것은 아니며, 계정 판별의 순서는 변경될 수 있다.
이상 설명된 본 발명에 따른 실시예는 다양한 컴퓨터 구성요소를 통하여 실행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등과 같은, 프로그램 명령어를 저장하고 실행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의하여 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용하여 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위하여 하나 이상의 소프트웨어 모듈로 변경될 수 있으며, 그 역도 마찬가지이다.
이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항과 한정된 실시예 및 도면에 의하여 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위하여 제공된 것일 뿐, 본 발명이 상기 실시예에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정과 변경을 꾀할 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 또는 이로부터 등가적으로 변경된 모든 범위는 본 발명의 사상의 범주에 속한다고 할 것이다.
200: 로그 관리 시스템
210: 로그 수신부
220: 전송용 로그 판단부
230: 계정 적합성 검사부
240: 데이터베이스
250: 통신부
260: 제어부

Claims (12)

  1. 보안 장치에 의해 검출된 로그 데이터를 수신하는 단계;
    상기 로그 데이터가 관리 대상 로그인 경우, 상기 로그 데이터에 대한 중요도 또는 긴급도 중 적어도 어느 하나를 판단하는 단계;
    상기 로그 데이터에 대한 중요도 또는 긴급도 참조로 하여 상기 로그 데이터를 전송용 로그로 분류하는 단계;
    상기 로그 데이터가 전송용 로그로 분류되면, 기설정된 외부 계정의 적합성을 검사하는 단계; 및
    상기 기설정된 외부의 계정이 적합한 것으로 판단되면, 상기 로그 데이터를 상기 기설정된 외부 계정으로 전송하는 단계;를 포함하는 로그 관리 방법.
  2. 제1항에 있어서,
    상기 기설정된 외부 계정은 이메일(e-mail), 시스템 로그(syslog), 간이 망 프로토콜(Simple Network Management Protocol, SNMP), 소셜 네트워크 서비스(Social Networking Service, SNS) 및 단문 메세지 서비스(Short Message Service, SMS)에 대한 계정 중 어느 하나인 것을 특징으로 하는 로그 관리 방법.
  3. 제2항에 있어서,
    상기 기설정된 외부 계정이 이메일 계정인 경우 상기 기설정된 외부 계정의 적합성을 검사하는 단계는,
    상기 이메일에 대응하는 도메인 네임 서비스의 적합성 검사하는 단계;
    상기 도메인 네임 서비스가 적합하면 상기 이메일에 대응하는 서버의 적합성 검사하는 단계; 및
    상기 이메일에 대응하는 서버가 적합하면 상기 이메일 계정으로 소정의 테스트 메일을 전송하는 단계;를 포함하는 로그 관리 방법.
  4. 제2항에 있어서,
    상기 기설정된 외부 계정이 시스템 로그 계정 또는 간이 망 프로토콜 계정 중 어느 하나인 경우 상기 기설정된 외부 계정의 적합성을 검사하는 단계는,
    상기 기설정된 외부 계정의 할당 아이피(IP)로 핑(Ping) 테스트를 수행하는 단계를 포함하는 것을 특징으로 하는 로그 관리 방법.
  5. 제2항에 있어서,
    상기 기설정된 외부 계정이 소셜 네트워크 서비스 계정인 경우 상기 기설정된 외부 계정의 적합성을 검사하는 단계는,
    상기 소셜 네트워크 서비스를 제공하는 서버로부터 제공받은 어드민 키(Admin key)를 이용하여 상기 소셜 네트워크 서비스 계정이 액티브한 계정인지 여부를 검사하는 단계를 포함하는 것을 특징으로 하는 로그 관리 방법.
  6. 제2항에 있어서,
    상기 계정이 단문 메세지 서비스인 경우, 상기 기설정된 외부 계정의 적합성을 검사하는 단계는,
    상기 단문 메세지 서비스를 제공하는 통신사에 접근하여 상기 단문 메세지 서비스에 대한 계정이 상기 통신사에 가입된 사용자의 것인지 여부를 확인함으로써 수행되는 것을 특징으로 하는 로그 관리 방법.
  7. 보안 장치에 의해 검출된 로그 데이터를 수신하는 로그 수신부;
    상기 로그 데이터가 관리 대상 로그인 경우, 상기 로그 데이터에 대한 중요도 또는 긴급도 중 적어도 어느 하나를 판단하고, 상기 로그 데이터에 대한 중요도 또는 긴급도 참조로 하여 상기 로그 데이터를 전송용 로그로 분류하는 전송용 로그 판단부; 및
    기설정된 외부 계정의 적합성을 검사하여 상기 기설정된 외부의 계정이 적합한 것으로 판단되면, 상기 전송용 로그에 대한 정보를 상기 기설정된 외부 계정으로 전송하는 계정 적합성 검사부;를 포함하는 로그 관리 시스템.
  8. 제7항에 있어서,
    상기 계정 적합성 검사부는, 상기 기설정된 외부 계정이 이메일 계정인 경우 상기 이메일에 대응하는 도메인 네임 서비스 및 상기 이메일 서비스를 제공하는 서버의 적합성을 검사하는 것을 특징으로 하는 로그 관리 시스템.
  9. 제7항에 있어서,
    상기 계정 적합성 검사부는, 상기 기설정된 외부 계정이 시스템 로그 계정 또는 간이 망 프로토콜 계정 중 어느 하나인 경우 상기 기설정된 외부 계정의 할당 아이피(IP)로 핑(Ping) 테스트를 수행하는 것을 특징으로 하는 로그 관리 시스템.
  10. 제7항에 있어서,
    상기 계정 적합성 검사부는, 상기 기설정된 외부 계정이 소셜 네트워크 서비스 계정인 경우 상기 소셜 네트워크 서비스를 제공하는 서버로부터 제공받은 어드민 키(Admin key)를 이용하여 상기 소셜 네트워크 서비스 계정이 액티브한 계정인지 여부를 검사하는 것을 특징으로 하는 로그 관리 시스템.
  11. 제7항에 있어서,
    상기 계정 적합성 검사부는, 상기 계정이 단문 메세지 서비스인 경우, 상기 단문 메세지 서비스를 제공하는 통신사에 접근하여 상기 단문 메세지 서비스에 대한 계정이 상기 통신사에 가입된 사용자의 것인지 여부를 확인하는 것을 특징으로 하는 로그 관리 시스템.
  12. 제1항 내지 제6항 중 어느 한 항에 따른 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 컴퓨터 판독 가능한 기록 매체.
KR1020150187503A 2015-12-28 2015-12-28 로그 관리 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체 KR101826728B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150187503A KR101826728B1 (ko) 2015-12-28 2015-12-28 로그 관리 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150187503A KR101826728B1 (ko) 2015-12-28 2015-12-28 로그 관리 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체

Publications (2)

Publication Number Publication Date
KR20170077540A true KR20170077540A (ko) 2017-07-06
KR101826728B1 KR101826728B1 (ko) 2018-03-22

Family

ID=59354472

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150187503A KR101826728B1 (ko) 2015-12-28 2015-12-28 로그 관리 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체

Country Status (1)

Country Link
KR (1) KR101826728B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110995531A (zh) * 2019-11-15 2020-04-10 苏州浪潮智能科技有限公司 一种rsyslog准确性的测试方法、系统、终端及存储介质
KR102193101B1 (ko) * 2019-07-05 2020-12-21 연세대학교 산학협력단 항생제 내성을 갖는 클렙시엘라 속의 균을 용균하는 신규한 박테리오파지

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100383167B1 (ko) * 2001-05-10 2003-05-09 (주)디쏘테크놀로지 이메일 어드레스를 검증하고 보정하는 시스템 및 그검증과 보정 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102193101B1 (ko) * 2019-07-05 2020-12-21 연세대학교 산학협력단 항생제 내성을 갖는 클렙시엘라 속의 균을 용균하는 신규한 박테리오파지
CN110995531A (zh) * 2019-11-15 2020-04-10 苏州浪潮智能科技有限公司 一种rsyslog准确性的测试方法、系统、终端及存储介质

Also Published As

Publication number Publication date
KR101826728B1 (ko) 2018-03-22

Similar Documents

Publication Publication Date Title
US8953479B2 (en) System and method for license enforcement for data center monitoring applications
CN109617885B (zh) 攻陷主机自动判定方法、装置、电子设备及存储介质
EP3092749B1 (en) Method and apparatus of identifying proxy ip address
US10862854B2 (en) Systems and methods for using DNS messages to selectively collect computer forensic data
CN114641968A (zh) 用于移动设备的有效网络保护的方法和系统
WO2019237813A1 (zh) 一种服务资源的调度方法及装置
CN103746956A (zh) 虚拟蜜罐
US8510446B1 (en) Dynamically populating an identity-correlation data store
US20140344573A1 (en) Decrypting Files for Data Leakage Protection in an Enterprise Network
US20220329609A1 (en) Network Security Protection Method and Protection Device
CN102404741A (zh) 移动终端上网异常检测方法和装置
US11895148B2 (en) Detection and mitigation of denial of service attacks in distributed networking environments
US20240089178A1 (en) Network service processing method, system, and gateway device
KR101826728B1 (ko) 로그 관리 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체
WO2019047693A1 (zh) 一种进行WiFi网络安全监控的方法与设备
US10320751B2 (en) DNS server selective block and DNS address modification method using proxy
RU2776349C1 (ru) Системы и способы использования сообщений dns для селективного сбора компьютерных криминалистических данных
US20230141028A1 (en) Traffic control server and method
KR20120012229A (ko) 불필요한 패킷 송수신 차단 장치 및 그 방법
KR101959440B1 (ko) 네트워크 보안 장치 및 그의 트래픽 처리 방법
CN116723020A (zh) 网络服务模拟方法、装置、电子设备及存储介质
KR20180049476A (ko) 네트워크 보안 방법 및 그 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant