KR20180101907A - Method and apparatus for log data magement - Google Patents
Method and apparatus for log data magement Download PDFInfo
- Publication number
- KR20180101907A KR20180101907A KR1020170028451A KR20170028451A KR20180101907A KR 20180101907 A KR20180101907 A KR 20180101907A KR 1020170028451 A KR1020170028451 A KR 1020170028451A KR 20170028451 A KR20170028451 A KR 20170028451A KR 20180101907 A KR20180101907 A KR 20180101907A
- Authority
- KR
- South Korea
- Prior art keywords
- log data
- format
- security device
- field value
- normalization
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 로그 데이터 관리 방법 및 장치에 관한 것으로, 보다 구체적으로 본 발명은 이기종 보안 장비 간에 수집되는 로그 데이터를 정규화하여 저장하는 로그 데이터 관리 방법 및 장치에 관한 것이다. BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a log data management method and apparatus, and more particularly, to a log data management method and apparatus for normalizing and storing log data collected among heterogeneous security devices.
ESM(Enterprise Security Management)/SIEM (Security Information & Event Management) 등의 통합 보안 관리 시스템은, IPS(Intrusion Prevention System), VPN) Virtual Private Network) 장비, UTM(Unified Threat Management) 장비 등 다양한 보안 장비에서 발생하는 로그 데이터, 이벤트 데이터를 통합하고 관리한다. 통합 보안 관리 시스템은, 통합된 로그 데이터, 이벤트 데이터를 분석하여 보안 위협을 사전에 인지하거나, 사후에 보안 위협에 대한 원인 분석을 수행할 수 있다. The integrated security management system such as ESM (Enterprise Security Management) / SIEM (Security Information & Event Management) can be applied to various security devices such as IPS (Intrusion Prevention System), VPN (Virtual Private Network) equipment and UTM Integrates and manages the log data and event data that are generated. The integrated security management system can recognize security threats in advance by analyzing integrated log data and event data, or perform cause analysis of security threats at a later stage.
통합 보안 관리 시스템이 수집하는 보안 장비들의 로그 데이터는, 보안 장비의 공급자(Vendor)마다 포맷이 서로 다를 수 있다. 통합 보안 관리 시스템이 이기종 보안 장비들로부터 수집되는 로그 데이터를 효율적으로 통합하고 관리하기 위해서는, 서로 다른 포맷의 로그 데이터를 정규화할 필요가 있다. The log data of the security devices collected by the integrated security management system may be different in format from one vendor to another security device. In order for the integrated security management system to efficiently integrate and manage the log data collected from heterogeneous security devices, it is necessary to normalize log data in different formats.
본 발명은 이기종 보안 장비들로부터 수집되는 로그 데이터를 효율적으로 관리할 수 있도록, 수집된 로그 데이터를 정규화하여 저장하는 로그 데이터 관리 방법 및 장치에 관한 것이다. The present invention relates to a log data management method and apparatus for normalizing and storing collected log data so as to efficiently manage log data collected from heterogeneous security devices.
또한, 본 발명은 로그 데이터의 정규화 포맷을 미리 저장하고, 이기종 보안 장비들로부터 수집되는 로그 데이터를 정규화 포맷으로 변환하여 저장하는 로그 데이터 관리 방법 및 장치에 관한 것이다. The present invention also relates to a log data management method and apparatus for storing log data normalization format in advance and converting log data collected from heterogeneous security devices into a normalized format and storing the log data.
상술한 과제를 해결하기 위한 본 발명에 따른 로그 데이터 관리 방법은, 로그 데이터의 정규화 포맷을 정의하는 단계, 적어도 하나의 보안 장비로부터 로그 데이터가 수신되면, 상기 로그 데이터를 상기 기정의된 로그 데이터의 정규화 포맷으로 변환하는 단계 및 상기 정규화 포맷으로 변환된 로그 데이터를 저장하는 단계를 포함하는 것을 특징으로 한다. According to another aspect of the present invention, there is provided a method of managing log data according to the present invention, the method comprising: defining a normalization format of log data; receiving log data from at least one security device; Converting the log data into the normalized format, and storing log data converted into the normalized format.
또한, 상기 로그 데이터의 정규화 포맷을 정의하는 단계는, 상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값 및 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값를 매핑하는 단계를 포함하는 것을 특징으로 한다. In addition, the step of defining the normalization format of the log data may include mapping a field value of log data defined in the at least one security device and a field value of log data defined in the normalization format .
또한, 상기 로그 데이터의 필드값은, 동일한 필드에 대하여 상기 적어도 하나의 보안 장비의 종류 및 공급자 중 적어도 하나에 의하여 서로 다르게 정의되는 것을 특징으로 한다. The field values of the log data may be defined differently by at least one of the type and the provider of the at least one security device for the same field.
또한, 상기 로그 데이터를 상기 기정의된 로그 데이터의 정규화 포맷으로 변환하는 단계는, 상기 로그 데이터로부터 상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값을 식별하는 단계, 상기 식별된 로그 데이터의 필드값에 매핑된 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값을 판단하는 단계, 상기 식별된 로그 데이터의 필드값에 대응하는 키 값을 추출하는 단계 및 상기 판단된 로그 데이터의 필드값에 상기 추출된 키 값을 대응시키는 단계를 포함하는 것을 특징으로 한다.The step of converting the log data into the normalized format of the log data may include: identifying a field value of log data defined in the at least one security device from the log data; Determining a field value of log data defined in the normalization format mapped to a field value, extracting a key value corresponding to a field value of the identified log data, extracting a key value corresponding to a field value of the log data, And associating the key value with the key value.
또한, 상기 정규화 포맷으로 변환된 로그 데이터를 분석하는 단계 및 상기 분석 결과를 기초로 네트워크 보안을 수행하는 단계를 더 포함하는 것을 특징으로 한다. The method may further include analyzing log data converted into the normalized format and performing network security based on the analysis result.
또한, 상술한 과제를 해결하기 위한 본 발명에 따른 로그 데이터 관리 장치는, 적어도 하나의 보안 장비와 데이터 통신을 수행하는 통신부, 기정의된 로그 데이터의 정규화 포맷을 저장하는 저장부 및 상기 통신부를 통하여 상기 적어도 하나의 보안 장비로부터 로그 데이터가 수신되면, 상기 로그 데이터를 상기 기정의된 로그 데이터의 정규화 포맷으로 변환하여 상기 저장부에 저장하는 제어부를 포함하는 것을 특징으로 한다. According to another aspect of the present invention, there is provided a log data management apparatus comprising: a communication unit for performing data communication with at least one security device; a storage unit for storing a normalized format of log data; And a controller for converting the log data into the normalized format of the log data when the log data is received from the at least one security device and storing the log data in the storage unit.
또한, 상기 제어부는, 상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값 및 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값을 매핑하여, 상기 기정의된 로그 데이터의 정규화 포맷으로 상기 저장부에 저장하는 것을 특징으로 한다.The control unit may map the field values of the log data defined in the at least one security device and the field values of the log data defined in the normalization format and store the normalized format of the log data in the storage unit .
또한, 상기 로그 데이터의 필드값은, 동일한 필드에 대하여 상기 적어도 하나의 보안 장비의 종류 및 공급자 중 적어도 하나에 의하여 서로 다르게 정의되는 것을 특징으로 한다.The field values of the log data may be defined differently by at least one of the type and the provider of the at least one security device for the same field.
또한, 상기 제어부는, 상기 로그 데이터로부터 상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값을 식별하고, 상기 식별된 로그 데이터의 필드값에 매핑된 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값을 판단하고, 상기 식별된 로그 데이터의 필드값에 대응하는 키 값을 추출하고, 상기 판단된 로그 데이터의 필드값에 상기 추출된 키 값을 대응시키는 것을 특징으로 한다.The control unit may identify a field value of log data defined in the at least one security device from the log data and store a field value of log data defined in the normalization format mapped to a field value of the identified log data Extracts a key value corresponding to the field value of the identified log data, and associates the extracted key value with the field value of the determined log data.
또한, 상기 제어부는, 상기 정규화 포맷으로 변환된 로그 데이터를 분석하고, 분석 결과를 기초로 네트워크 보안을 수행하는 것을 특징으로 한다. In addition, the controller analyzes the log data converted into the normalized format, and performs network security based on the analysis result.
본 발명에 따른 로그 데이터 관리 방법 및 장치는, 이기종 보안 장치들로부터 수집되는 로그 데이터를 정규화된 포맷으로 변환하여 저장하므로, 로그 데이터의 통합 관리 및 보안 처리가 효율적으로 수행될 수 있다. The method and apparatus for managing log data according to the present invention convert log data collected from heterogeneous security devices into a normalized format and store the converted log data, so that integrated management and security processing of log data can be efficiently performed.
도 1은 본 발명의 실시 예에 따른 로그 데이터 관리 장치가 동작하는 네트워크 시스템을 나타낸 도면이다.
도 2는 본 발명의 실시 예에 따른 로그 데이터 관리 방법을 나타낸 순서도이다.
도 3은 본 발명의 실시 예에 따른 로그 데이터 관리 장치의 구조를 나타낸 블록도이다. 1 is a diagram illustrating a network system in which a log data management apparatus according to an embodiment of the present invention operates.
2 is a flowchart illustrating a log data management method according to an embodiment of the present invention.
3 is a block diagram showing a structure of a log data management apparatus according to an embodiment of the present invention.
본 명세서의 실시 예를 설명함에 있어 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략될 수 있다. In the description of the embodiments of the present invention, if it is determined that a detailed description of known configurations or functions related to the present invention can not be applied to the present invention, detailed description thereof may be omitted.
본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다." 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. Quot ;, " include, " " include, " as used herein. And the like are intended to indicate the presence of disclosed features, operations, components, etc., and are not intended to limit the invention in any way. Also, in this specification, " include. &Quot; Or "have." , Etc. are intended to designate the presence of stated features, integers, steps, operations, components, parts, or combinations thereof, may be combined with one or more other features, steps, operations, components, It should be understood that they do not preclude the presence or addition of combinations thereof.
본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.As used herein, the singular forms "a", "an" and "the" include plural referents unless the context clearly dictates otherwise.
이하, 첨부된 도면을 참조하여 본 발명을 설명한다. Hereinafter, the present invention will be described with reference to the accompanying drawings.
도 1은 본 발명의 실시 예에 따른 로그 데이터 관리 장치가 동작하는 네트워크 시스템을 나타낸 도면이다. 1 is a diagram illustrating a network system in which a log data management apparatus according to an embodiment of the present invention operates.
도 1을 참조하면, 본 발명에 따른 네트워크 시스템은, 로그 데이터 관리 장치(100) 및 적어도 하나의 보안 장비(200-1, 200-2, 200-3)를 포함하여 구성될 수 있다. Referring to FIG. 1, the network system according to the present invention may include a log
본 발명의 다양한 실시 예에서, 로그 데이터 관리 장치(100)는 ESM(Enterprise Security Management), SIEM (Security Information & Event Management) 등과 같이 적어도 하나의 다른 보안 장비로부터 로그 데이터를 수신하여 통합 관리하는 통합 보안 관리 장치일 수 있다. In various embodiments of the present invention, the log
또한, 본 발명의 다양한 실시 예에서, 적어도 하나의 보안 장비(200-1, 200-2, 200-3)는 방화벽 장비, IPS(Intrusion Prevention System), VPN) Virtual Private Network) 장비, UTM(Unified Threat Management) 등, 기설정된 보안 정책에 따라 패킷의 위험 여부를 감지하고, 그에 따른 패킷 전송 허용/차단 등의 네트워크 보안 동작을 수행하는 장비일 수 있다.Also, in various embodiments of the present invention, the at least one security device 200-1, 200-2, 200-3 may include a firewall device, an Intrusion Prevention System (IPS), a Virtual Private Network (VPN) And a device for performing a network security operation such as allowing / disabling a packet transmission according to a predetermined security policy such as Threat Management (hereinafter, "Threat Management").
적어도 하나의 보안 장비(200-1, 200-2, 200-3)는 네트워크 보안 동작의 수행과정에서 발생하는 관련 데이터들을 로그 데이터로 생성하고 저장할 수 있다. 로그 데이터는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)에서 송수신되는 패킷에 관한, 정보, 패킷 분석 결과에 관한 정보, 패킷 처리 결과(이벤트 발생)에 관한 정보 중 적어도 하나를 포함할 수 있다.At least one security device 200-1, 200-2, and 200-3 may generate and store related data generated in the process of performing a network security operation as log data. The log data includes at least one of information about packets transmitted and received by at least one security device 200-1, 200-2, and 200-3, information about the result of packet analysis, information about a result of packet processing (event generation) . ≪ / RTI >
적어도 하나의 보안 장비(200-1, 200-2, 200-3)는 생성된 로그 데이터를 로그 데이터 관리 장치(100)로 전송할 수 있다.At least one of the security devices 200-1, 200-2, and 200-3 may transmit the generated log data to the log
로그 데이터 관리 장치(100)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 수신되는 로그 데이터를 통합하여 저장하고 관리할 수 있다. 로그 데이터 관리 장치(100)는 통합된 로그 데이터를 분석하고, 이상 트래픽 발생 여부, 공격 패킷 수신 여부, 내부 정보 유출 여부 등에 대한 판단 결과에 따라 네트워크 보안을 수행할 수 있다. The log
본 발명의 다양한 실시 예에서, 로그 데이터 관리 장치(100)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 수신되는 로그 데이터를 정규화된 포맷을 변환하여 통합하고 저장할 수 있다. In various embodiments of the present invention, the log
이하에서는, 로그 데이터 관리 장치(100)의 로그 데이터 정규화 방법에 대하여 구체적으로 설명한다. Hereinafter, the log data normalization method of the log
도 2는 본 발명의 실시 예에 따른 로그 데이터 관리 방법을 나타낸 순서도이다.2 is a flowchart illustrating a log data management method according to an embodiment of the present invention.
도 2를 참조하면, 본 발명에 따른 로그 데이터 관리 장치(100)는 먼저, 로그 데이터의 정규화 포맷을 정의할 수 있다(201).Referring to FIG. 2, the log
로그 데이터 관리 장치(100)에서 수집되는 로그 데이터는, 해당 로그 데이터를 생성하여 전송한 보안 장비의 종류, 공급자 등에 따라 다양한 포맷을 가질 수 있다.The log data collected by the log
일 실시 예에서, 보안 장비가 방화벽 장비인 경우, 로그 데이터 포맷의 일 형태는 하기의 표 1과 같을 수 있다. In one embodiment, when the security device is a firewall device, one form of log data format may be as shown in Table 1 below.
상기한 로그 데이터의 일 형태를 참조하면, 로그 데이터는 적어도 하나의 필드값 및 그에 각각 대응하는 적어도 하나의 키 값, 및 구분자를 포함하여 구성될 수 있다. Referring to one form of the log data, the log data may include at least one field value, at least one key value corresponding thereto, and a delimiter.
예를 들어, 상기한 로그 데이터의 일 형태에서 패킷의 출발지 IP 주소를 나타내는 필드값은 src_ip, 그에 대한 키 값은 2001:2b8:28:fffd:1ff:ffff:9:233이다. 또한, 상기한 로그 데이터의 일 형태에서 패킷의 출발지 포트 번호를 나타내는 필드값은 src_port, 목적지 IP 주소를 나타내는 필드값은 dst_ip, 목적지 포트 번호를 나타내는 필드값은 dst_port, 프로토콜을 나타내는 필드값은 protocol이며, 각각의 키 값은 9738, 2600:1417:5a:39e::201a, 80, TCP이다. 또한, 상기한 로그 데이터의 일 형태에서, 각 필드의 구분자는 스페이스 문자(' ', 공백)이다. For example, in one form of the log data, the field value indicating the source IP address of the packet is src_ip, and the key value thereof is 2001: 2b8: 28: fffd: 1ff: ffff: 9: 233. In one form of the log data, the field value indicating the source port number of the packet is src_port, the field value indicating the destination IP address is dst_ip, the field value indicating the destination port number is dst_port, and the field value indicating the protocol is protocol , And the key values are 9738, 2600: 1417: 5a: 39e :: 201a, 80, TCP. In one form of the log data, the delimiter of each field is a space character ('', blank).
상기한 예는, 로그 데이터 포맷의 일 형태에 관한 것으로, 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 수신되는 로그 데이터의 포맷은 보안 장비의 종류 및 공급자에 따라 다양한 형태를 가질 수 있다. The above example relates to one form of the log data format, and the format of the log data received from at least one security device 200-1, 200-2, 200-3 may be various And the like.
일 예로, 로그 데이터 포맷에 따라 출발지 IP 주소의 필드값은, src_ip, source-ip, srcip, sourceip 등과 같이 다양하게 정의될 수 있다. 마찬가지로, 로그 데이터 포맷에 따라 출발지 포트 번호의 필드값은, src_port, source_port, sreport, sourceport 등으로, 목적지 IP 주소의 필드값은, dst_ip, destination-ip, dstip, destinatioip 등으로, 목적지 포트 번호의 필드값은, dst_port, destinationport, dstport, destinationport 등으로, 프로토콜은 protocol 등으로 다양하게 정의될 수 있다. 또한, 로그 데이터 포맷에 따라 구분자는 스페이스 문자, 쉼표, 세로 바(“|”) 등 다양하게 정의될 수 있다. For example, the field value of the source IP address according to the log data format may be variously defined as src_ip, source-ip, srcip, sourceip, and so on. Similarly, the field values of the source port number are set to src_port, source_port, sreport, sourceport, and the field values of the destination IP address are set to dst_ip, destination-ip, dstip, destinatioip, The values can be variously defined as dst_port, destinationport, dstport, destinationport, and so on. Also, depending on the log data format, delimiters can be defined in various ways such as a space character, a comma, and a vertical bar (" | ").
로그 데이터 관리 장치(100)는 보안 장비 별로 다양하게 정의되는 로그 데이터의 포맷을 통합할 수 있는 정규화 포맷을 정의할 수 있다. The log
정규화 포맷은 로그 데이터 관리 장치(100)가 통합하여 관리해야 하는 로그 데이터의 필드에 대하여, 적어도 하나의 보안 장비(200-1, 200-2, 200-3)에서 정의되는 필드값 및 상기 로그 데이터 관리 장치(100)가 정규화 포맷으로 사용할 필드값을 포함하여 구성될 수 있다. 구체적으로, 정규화 포맷은 적어도 하나의 보안 장비(200-1, 200-2, 200-3)에서 다양하게 정의되는 필드값을 하나의 정규화 필드값에 매핑하는 단어 사전 기법을 이용하여 정의될 수 있다. The normalization format is a format in which the field values defined in at least one security device 200-1, 200-2, and 200-3 and the log value of the log data to be managed by the log
일 실시 예에서, 로그 데이터 관리 장치(100)에 의하여 정의되는 정규화 포맷은 임의의 종류 또는 임의의 공급자에 의하여 정의된 로그 데이터의 포맷과 동일할 수도 있다. In one embodiment, the normalization format defined by the log
일 실시 예에서, 정규화 포맷은 표 2와 같이 정의될 수 있다. In one embodiment, the normalization format may be defined as shown in Table 2.
로그 데이터 관리 장치(100)는 정의된 로그 데이터의 정규화 포맷을 저장할 수 있고, 로그 데이터 관리 장치(100)의 사용자 또는 외부로부터의 요청에 따라, 또는 기설정된 주기에 따라 로그 데이터의 정규화 포맷을 수정, 갱신하거나 외부로 전송할 수 있다.The log
다음으로, 로그 데이터 관리 장치(100)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 로그 데이터가 수신되는지 여부를 판단할 수 있다(202).Next, the log
적어도 하나의 보안 장비(200-1, 200-2, 200-3)는 로그 데이터를 생성할 때마다, 또는 기설정된 주기에 따라 로그 데이터 관리 장치(100)로 로그 데이터를 전송할 수 있다. 로그 데이터 관리 장치(100)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)가 전송하는 로그 데이터를 수신할 수 있다. At least one of the security devices 200-1, 200-2, and 200-3 can transmit log data to the log
또는 로그 데이터 관리 장치(100)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로 로그 데이터 요청을 전송하고, 그에 대한 응답으로 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 로그 데이터를 수신할 수 있다. Or log
적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 로그 데이터가 수신되면, 로그 데이터 관리 장치(100)는 수신된 로그 데이터를 기정의된 정규화 포맷으로 변환할 수 있다(203).When the log data is received from at least one security device 200-1, 200-2, 200-3, the log
구체적으로, 로그 데이터 관리 장치(100)는 수신된 로그 데이터로부터 적어도 하나의 보안 장비(200-1, 200-2, 200-3)에서 다양하게 정의되는 필드값을 식별하고, 식별된 필드값에 대응하는 정규화 포맷을 판단할 수 있다. 로그 데이터 관리 장치(100)는 식별된 필드값에 대응하는 키 값을 추출하여 정규화 포맷에 대응시키고, 정규화 포맷과 그에 대응된 키 값을 정규화된 포맷의 로그 데이터로 기록할 수 있다. Specifically, the log
일 실시 예에서, 임의의 보안 장비로부터 수신된 로그 데이터가 표 3과 같은 경우, 표 2와 같이 정의된 정규화 포맷에 의하여 변환된 로그 데이터는 표 4와 같을 수 있다.In one embodiment, when the log data received from any security device is as shown in Table 3, the log data converted by the normalization format defined as shown in Table 2 may be as shown in Table 4.
src_ip=2001:2b8:28:fffd:1ff:ffff:9:233 src_port=9738 dst_ip=2600:1417:5a:39e::201a dst_port=80 protocol=TCP
......
src_ip = 2001: 2b8: 28: fffd: 1ff: ffff: 9: 233 src_port = 9738 dst_ip = 2600: 1417: 5a: 39e :: 201a dst_port = 80 protocol =
...
출발지 IP=2001:2b8:28:fffd:1ff:ffff:9:233 출발지 포트=9738 목적지 IP=2600:1417:5a:39e::201a 목적지 포트=80 프로토콜=TCP
......
Origin Port = 9738 Destination IP = 2600: 1417: 5a: 39e :: 201a Destination Port = 80 Protocol = TCP Destination IP = 2001: 2b8: 28: fffd: 1ff: ffff:
...
상술한 로그 데이터의 변환 방법은 일 실시 예에 불과하며, 로그 데이터 관리 장치(100)는 데이터 포맷 변환을 지원하는 다양한 알고리즘을 이용하여 로그 데이터를 정규화 포맷을 변환할 수 있다. The log data conversion method described above is only an embodiment, and the log
이후에, 로그 데이터 관리 장치(100)는 정규화 포맷으로 변환된 로그 데이터를 저장하고 관리할 수 있다(204).Thereafter, the log
로그 데이터 관리 장치(100)는 정규화 포맷으로 변환된 로그 데이터를 최종 로그 데이터로써 통합하여 저장할 수 있다. 다양한 실시 예에서 로그 데이터 관리 장치(100)는 저장된 로그 데이터를 외부로 전송하거나 다양한 용도로 이용할 수 있다. The log
일 예로, 로그 데이터 관리 장치(100)는 저장된 정규화 포맷의 로그 데이터를 분석하고, 그에 따른 네트워크 보안을 수행할 수 있다(205).As an example, the log
통합된 정규화 포맷의 로그 데이터를 분석하여, 이상 트래픽 발생 여부, 공격 패킷 수신 여부, 내부 정보 유출 여부 등에 대한 판단 결과에 따라 네트워크 보안을 수행할 수 있다. 일 예로, 로그 데이터 관리 정치(100)는 로그 데이터 분석 결과 및 상술한 판단 결과를 외부로 보고(report)하거나, 패킷 전송 허용/차단 동작을 수행할 수 있다. The log data of the integrated normalization format is analyzed and the network security can be performed according to the determination result of abnormal traffic occurrence, attack packet reception, and leakage of internal information. For example, the log
도 3은 본 발명의 실시 예에 따른 로그 데이터 관리 장치의 구조를 나타낸 블록도이다. 3 is a block diagram showing a structure of a log data management apparatus according to an embodiment of the present invention.
도 3을 참조하면, 본 발명의 실시 예에 따른 로그 데이터 관리 장치(100)는 통신부(110), 제어부(120) 및 저장부(130)를 포함하여 구성될 수 있다. 3, the log
통신부(110)는 외부와 통신을 수행할 수 있다.The
본 발명의 다양한 실시 예에서, 통신부(110)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)와 데이터 통신을 수행할 수 있다. 구체적으로, 통신부(110)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 로그 데이터를 수신할 수 있다. In various embodiments of the present invention, the
일 실시 예에서, 통신부(110)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로 로그 데이터 요청을 전송할 수도 있다. In one embodiment, the
제어부(120)는 본 발명에 따른 로그 데이터 관리 방법을 수행하기 위하여 로그 데이터 관리 장치(100)의 각 구성 요소들을 제어할 수 있다. The
구체적으로, 제어부(120)는 정규화 포맷을 사전에 정의하여 저장하였다가, 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 로그 데이터가 수신되면, 수신된 로그 데이터를 정규화 포맷으로 변환하여 저장부(130)에 저장하고, 이를 주기적으로 관리할 수 있다. 또한, 제어부(120)는 정규화 포맷의 로그 데이터를 분석하고, 분석된 결과에 따라 다양한 네트워크 보안을 수행할 수 있다. Specifically, when the log data is received from at least one security device 200-1, 200-2, and 200-3, the
제어부(120)의 구체적인 동작은 도 2를 참조하여 설명한 바와 동일하므로, 자세한 설명은 생략한다.The detailed operation of the
저장부(130)는 로그 데이터 관리 장치(100)의 동작을 위한 프로그램, 데이터 등을 저장할 수 있다. 이를 위하여, 저장부(130)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 xD 메모리 등), 램(Random Access Memory, RAM), SRAM(Static Random Access Memory), 롬(Read-Only Memory, ROM), EEPROM(Electrically Erasable Programmable Read-Only Memory), PROM(Programmable Read-Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다.The
본 발명의 다양한 실시 예에서, 저장부(130)는 제어부(120)에 의해 정의되는 로그 데이터의 정규화 포맷을 프로그램 코드, 테이블 형태 등으로 저장할 수 있다. In various embodiments of the present invention, the
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It is to be understood that both the foregoing general description and the following detailed description of the present invention are exemplary and explanatory and are intended to provide further explanation of the invention as claimed. Accordingly, the scope of the present invention should be construed as being included in the scope of the present invention, all changes or modifications derived from the technical idea of the present invention.
100: 로그 데이터 관리 장치
110: 통신부
120: 제어부
130: 저장부
200-1, 200-2, 200-3: 보안 장비100: log data management device
110:
120:
130:
200-1, 200-2, 200-3: Security equipment
Claims (10)
적어도 하나의 보안 장비로부터 로그 데이터가 수신되면, 상기 로그 데이터를 상기 기정의된 로그 데이터의 정규화 포맷으로 변환하는 단계; 및
상기 정규화 포맷으로 변환된 로그 데이터를 저장하는 단계를 포함하는 것을 특징으로 하는 로그 데이터 관리 방법. Defining a normalization format of the log data;
If the log data is received from at least one security device, converting the log data into a normalized format of the predetermined log data; And
And storing the converted log data in the normalized format.
상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값 및 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값를 매핑하는 단계를 포함하는 것을 특징으로 하는 로그 데이터 관리 방법. 2. The method of claim 1, wherein defining the normalization format of the log data comprises:
And mapping the field values of the log data defined in the at least one security device and the field values of the log data defined in the normalization format.
동일한 필드에 대하여 상기 적어도 하나의 보안 장비의 종류 및 공급자 중 적어도 하나에 의하여 서로 다르게 정의되는 것을 특징으로 하는 로그 데이터 관리 방법. 3. The method of claim 2,
Wherein the at least one security device is defined differently by at least one of the type and provider of the at least one security device for the same field.
상기 로그 데이터로부터 상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값을 식별하는 단계;
상기 식별된 로그 데이터의 필드값에 매핑된 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값을 판단하는 단계;
상기 식별된 로그 데이터의 필드값에 대응하는 키 값을 추출하는 단계; 및
상기 판단된 로그 데이터의 필드값에 상기 추출된 키 값을 대응시키는 단계를 포함하는 것을 특징으로 하는 로그 데이터 관리 방법.3. The method of claim 2, wherein transforming the log data into a normalized format of the predetermined log data comprises:
Identifying a field value of log data defined in the at least one security device from the log data;
Determining a field value of log data defined in the normalization format mapped to a field value of the identified log data;
Extracting a key value corresponding to a field value of the identified log data; And
And associating the extracted key value with a field value of the determined log data.
상기 정규화 포맷으로 변환된 로그 데이터를 분석하는 단계; 및
상기 분석 결과를 기초로 네트워크 보안을 수행하는 단계를 더 포함하는 것을 특징으로 하는 로그 데이터 관리 방법. The method according to claim 1,
Analyzing the log data converted into the normalization format; And
And performing network security based on the analysis result.
기정의된 로그 데이터의 정규화 포맷을 저장하는 저장부; 및
상기 통신부를 통하여 상기 적어도 하나의 보안 장비로부터 로그 데이터가 수신되면, 상기 로그 데이터를 상기 기정의된 로그 데이터의 정규화 포맷으로 변환하여 상기 저장부에 저장하는 제어부를 포함하는 것을 특징으로 하는 로그 데이터 관리 장치. A communication unit for performing data communication with at least one security device;
A storage unit for storing a normalized format of the log data that has been set; And
And a controller for converting the log data into the normalized format of the predetermined log data and storing the log data in the storage unit when the log data is received from the at least one security device through the communication unit. Device.
상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값 및 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값를 매핑하여, 상기 기정의된 로그 데이터의 정규화 포맷으로 상기 저장부에 저장하는 것을 특징으로 하는 로그 데이터 관리 장치.7. The apparatus of claim 6,
A field value of the log data defined in the at least one security device and a field value of the log data defined in the normalization format are mapped and stored in the storage unit in the normalized format of the log data set in the normalized format. Data management device.
동일한 필드에 대하여 상기 적어도 하나의 보안 장비의 종류 및 공급자 중 적어도 하나에 의하여 서로 다르게 정의되는 것을 특징으로 하는 로그 데이터 관리 장치.The method as claimed in claim 7,
Wherein the at least one security device is defined differently by at least one of the type and provider of the at least one security device for the same field.
상기 로그 데이터로부터 상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값을 식별하고, 상기 식별된 로그 데이터의 필드값에 매핑된 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값을 판단하고, 상기 식별된 로그 데이터의 필드값에 대응하는 키 값을 추출하고, 상기 판단된 로그 데이터의 필드값에 상기 추출된 키 값을 대응시키는 것을 특징으로 하는 로그 데이터 관리 장치.8. The apparatus of claim 7,
Identifying a field value of log data defined in the at least one security device from the log data, determining a field value of log data defined in the normalization format mapped to a field value of the identified log data, Extracts a key value corresponding to a field value of the log data, and associates the extracted key value with a field value of the determined log data.
상기 정규화 포맷으로 변환된 로그 데이터를 분석하고, 분석 결과를 기초로 네트워크 보안을 수행하는 것을 특징으로 하는 로그 데이터 관리 장치. 7. The apparatus of claim 6,
Analyzing the log data converted into the normalization format, and performing network security based on the analysis result.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170028451A KR20180101907A (en) | 2017-03-06 | 2017-03-06 | Method and apparatus for log data magement |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170028451A KR20180101907A (en) | 2017-03-06 | 2017-03-06 | Method and apparatus for log data magement |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20180101907A true KR20180101907A (en) | 2018-09-14 |
Family
ID=63599647
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170028451A KR20180101907A (en) | 2017-03-06 | 2017-03-06 | Method and apparatus for log data magement |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20180101907A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102669472B1 (en) * | 2023-06-23 | 2024-05-27 | 인스피언 주식회사 | Data management device, data management method and a computer-readable storage medium for storing data management program |
-
2017
- 2017-03-06 KR KR1020170028451A patent/KR20180101907A/en not_active Application Discontinuation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102669472B1 (en) * | 2023-06-23 | 2024-05-27 | 인스피언 주식회사 | Data management device, data management method and a computer-readable storage medium for storing data management program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10084713B2 (en) | Protocol type identification method and apparatus | |
EP4224793A1 (en) | Rule-based network-threat detection for encrypted communications | |
US10374913B2 (en) | Data retention probes and related methods | |
US9660833B2 (en) | Application identification in records of network flows | |
US20180351979A1 (en) | Forensic analysis | |
US10498618B2 (en) | Attributing network address translation device processed traffic to individual hosts | |
CN112217771B (en) | Data forwarding method and data forwarding device based on tenant information | |
EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
CN104639391A (en) | Method for generating network flow record and corresponding flow detection equipment | |
CN103095709B (en) | Safety protecting method and device | |
CN111865996A (en) | Data detection method and device and electronic equipment | |
CN107995321A (en) | A kind of VPN client acts on behalf of the method and device of DNS | |
EP3016423A1 (en) | Network safety monitoring method and system | |
KR101772681B1 (en) | Firewall Apparatus and Driving Method Thereof | |
CN108712369A (en) | A kind of more attribute constraint access control decision system and method for industrial control network | |
KR20180101907A (en) | Method and apparatus for log data magement | |
CN102724068B (en) | Method for identifying audit log asset in internet protocol version 6 (IPv6) mixed network | |
KR101619371B1 (en) | Method and apparatus for packet processing | |
CN114124551B (en) | Malicious encryption traffic identification method based on multi-granularity feature extraction under WireGuard protocol | |
US20160112488A1 (en) | Providing Information of Data Streams | |
CN113660291B (en) | Method and device for preventing malicious tampering of intelligent large-screen display information | |
CN112640392B (en) | Trojan horse detection method, device and equipment | |
CN106878338B (en) | Telecontrol equipment gateway firewall integrated machine system | |
AU2016374990B2 (en) | Apparatus and method for forwarding data packets | |
US20220407947A1 (en) | Operation management method for network device without address information, and network device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |