KR20180101907A - Method and apparatus for log data magement - Google Patents

Method and apparatus for log data magement Download PDF

Info

Publication number
KR20180101907A
KR20180101907A KR1020170028451A KR20170028451A KR20180101907A KR 20180101907 A KR20180101907 A KR 20180101907A KR 1020170028451 A KR1020170028451 A KR 1020170028451A KR 20170028451 A KR20170028451 A KR 20170028451A KR 20180101907 A KR20180101907 A KR 20180101907A
Authority
KR
South Korea
Prior art keywords
log data
format
security device
field value
normalization
Prior art date
Application number
KR1020170028451A
Other languages
Korean (ko)
Inventor
정호근
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020170028451A priority Critical patent/KR20180101907A/en
Publication of KR20180101907A publication Critical patent/KR20180101907A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a method and an apparatus for managing log data. The method comprises the steps of: defining a normalization format of log data; converting the log data with a normalization format of predefined log data when the log data are received from at least one security apparatus; and storing the log data converted with the normalization format.

Description

로그 데이터 관리 방법 및 장치{Method and apparatus for log data magement}METHOD AND APPARATUS FOR MANAGING LOG DATA

본 발명은 로그 데이터 관리 방법 및 장치에 관한 것으로, 보다 구체적으로 본 발명은 이기종 보안 장비 간에 수집되는 로그 데이터를 정규화하여 저장하는 로그 데이터 관리 방법 및 장치에 관한 것이다. BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a log data management method and apparatus, and more particularly, to a log data management method and apparatus for normalizing and storing log data collected among heterogeneous security devices.

ESM(Enterprise Security Management)/SIEM (Security Information & Event Management) 등의 통합 보안 관리 시스템은, IPS(Intrusion Prevention System), VPN) Virtual Private Network) 장비, UTM(Unified Threat Management) 장비 등 다양한 보안 장비에서 발생하는 로그 데이터, 이벤트 데이터를 통합하고 관리한다. 통합 보안 관리 시스템은, 통합된 로그 데이터, 이벤트 데이터를 분석하여 보안 위협을 사전에 인지하거나, 사후에 보안 위협에 대한 원인 분석을 수행할 수 있다. The integrated security management system such as ESM (Enterprise Security Management) / SIEM (Security Information & Event Management) can be applied to various security devices such as IPS (Intrusion Prevention System), VPN (Virtual Private Network) equipment and UTM Integrates and manages the log data and event data that are generated. The integrated security management system can recognize security threats in advance by analyzing integrated log data and event data, or perform cause analysis of security threats at a later stage.

통합 보안 관리 시스템이 수집하는 보안 장비들의 로그 데이터는, 보안 장비의 공급자(Vendor)마다 포맷이 서로 다를 수 있다. 통합 보안 관리 시스템이 이기종 보안 장비들로부터 수집되는 로그 데이터를 효율적으로 통합하고 관리하기 위해서는, 서로 다른 포맷의 로그 데이터를 정규화할 필요가 있다. The log data of the security devices collected by the integrated security management system may be different in format from one vendor to another security device. In order for the integrated security management system to efficiently integrate and manage the log data collected from heterogeneous security devices, it is necessary to normalize log data in different formats.

본 발명은 이기종 보안 장비들로부터 수집되는 로그 데이터를 효율적으로 관리할 수 있도록, 수집된 로그 데이터를 정규화하여 저장하는 로그 데이터 관리 방법 및 장치에 관한 것이다. The present invention relates to a log data management method and apparatus for normalizing and storing collected log data so as to efficiently manage log data collected from heterogeneous security devices.

또한, 본 발명은 로그 데이터의 정규화 포맷을 미리 저장하고, 이기종 보안 장비들로부터 수집되는 로그 데이터를 정규화 포맷으로 변환하여 저장하는 로그 데이터 관리 방법 및 장치에 관한 것이다. The present invention also relates to a log data management method and apparatus for storing log data normalization format in advance and converting log data collected from heterogeneous security devices into a normalized format and storing the log data.

상술한 과제를 해결하기 위한 본 발명에 따른 로그 데이터 관리 방법은, 로그 데이터의 정규화 포맷을 정의하는 단계, 적어도 하나의 보안 장비로부터 로그 데이터가 수신되면, 상기 로그 데이터를 상기 기정의된 로그 데이터의 정규화 포맷으로 변환하는 단계 및 상기 정규화 포맷으로 변환된 로그 데이터를 저장하는 단계를 포함하는 것을 특징으로 한다. According to another aspect of the present invention, there is provided a method of managing log data according to the present invention, the method comprising: defining a normalization format of log data; receiving log data from at least one security device; Converting the log data into the normalized format, and storing log data converted into the normalized format.

또한, 상기 로그 데이터의 정규화 포맷을 정의하는 단계는, 상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값 및 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값를 매핑하는 단계를 포함하는 것을 특징으로 한다. In addition, the step of defining the normalization format of the log data may include mapping a field value of log data defined in the at least one security device and a field value of log data defined in the normalization format .

또한, 상기 로그 데이터의 필드값은, 동일한 필드에 대하여 상기 적어도 하나의 보안 장비의 종류 및 공급자 중 적어도 하나에 의하여 서로 다르게 정의되는 것을 특징으로 한다. The field values of the log data may be defined differently by at least one of the type and the provider of the at least one security device for the same field.

또한, 상기 로그 데이터를 상기 기정의된 로그 데이터의 정규화 포맷으로 변환하는 단계는, 상기 로그 데이터로부터 상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값을 식별하는 단계, 상기 식별된 로그 데이터의 필드값에 매핑된 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값을 판단하는 단계, 상기 식별된 로그 데이터의 필드값에 대응하는 키 값을 추출하는 단계 및 상기 판단된 로그 데이터의 필드값에 상기 추출된 키 값을 대응시키는 단계를 포함하는 것을 특징으로 한다.The step of converting the log data into the normalized format of the log data may include: identifying a field value of log data defined in the at least one security device from the log data; Determining a field value of log data defined in the normalization format mapped to a field value, extracting a key value corresponding to a field value of the identified log data, extracting a key value corresponding to a field value of the log data, And associating the key value with the key value.

또한, 상기 정규화 포맷으로 변환된 로그 데이터를 분석하는 단계 및 상기 분석 결과를 기초로 네트워크 보안을 수행하는 단계를 더 포함하는 것을 특징으로 한다. The method may further include analyzing log data converted into the normalized format and performing network security based on the analysis result.

또한, 상술한 과제를 해결하기 위한 본 발명에 따른 로그 데이터 관리 장치는, 적어도 하나의 보안 장비와 데이터 통신을 수행하는 통신부, 기정의된 로그 데이터의 정규화 포맷을 저장하는 저장부 및 상기 통신부를 통하여 상기 적어도 하나의 보안 장비로부터 로그 데이터가 수신되면, 상기 로그 데이터를 상기 기정의된 로그 데이터의 정규화 포맷으로 변환하여 상기 저장부에 저장하는 제어부를 포함하는 것을 특징으로 한다. According to another aspect of the present invention, there is provided a log data management apparatus comprising: a communication unit for performing data communication with at least one security device; a storage unit for storing a normalized format of log data; And a controller for converting the log data into the normalized format of the log data when the log data is received from the at least one security device and storing the log data in the storage unit.

또한, 상기 제어부는, 상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값 및 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값을 매핑하여, 상기 기정의된 로그 데이터의 정규화 포맷으로 상기 저장부에 저장하는 것을 특징으로 한다.The control unit may map the field values of the log data defined in the at least one security device and the field values of the log data defined in the normalization format and store the normalized format of the log data in the storage unit .

또한, 상기 로그 데이터의 필드값은, 동일한 필드에 대하여 상기 적어도 하나의 보안 장비의 종류 및 공급자 중 적어도 하나에 의하여 서로 다르게 정의되는 것을 특징으로 한다.The field values of the log data may be defined differently by at least one of the type and the provider of the at least one security device for the same field.

또한, 상기 제어부는, 상기 로그 데이터로부터 상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값을 식별하고, 상기 식별된 로그 데이터의 필드값에 매핑된 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값을 판단하고, 상기 식별된 로그 데이터의 필드값에 대응하는 키 값을 추출하고, 상기 판단된 로그 데이터의 필드값에 상기 추출된 키 값을 대응시키는 것을 특징으로 한다.The control unit may identify a field value of log data defined in the at least one security device from the log data and store a field value of log data defined in the normalization format mapped to a field value of the identified log data Extracts a key value corresponding to the field value of the identified log data, and associates the extracted key value with the field value of the determined log data.

또한, 상기 제어부는, 상기 정규화 포맷으로 변환된 로그 데이터를 분석하고, 분석 결과를 기초로 네트워크 보안을 수행하는 것을 특징으로 한다. In addition, the controller analyzes the log data converted into the normalized format, and performs network security based on the analysis result.

본 발명에 따른 로그 데이터 관리 방법 및 장치는, 이기종 보안 장치들로부터 수집되는 로그 데이터를 정규화된 포맷으로 변환하여 저장하므로, 로그 데이터의 통합 관리 및 보안 처리가 효율적으로 수행될 수 있다. The method and apparatus for managing log data according to the present invention convert log data collected from heterogeneous security devices into a normalized format and store the converted log data, so that integrated management and security processing of log data can be efficiently performed.

도 1은 본 발명의 실시 예에 따른 로그 데이터 관리 장치가 동작하는 네트워크 시스템을 나타낸 도면이다.
도 2는 본 발명의 실시 예에 따른 로그 데이터 관리 방법을 나타낸 순서도이다.
도 3은 본 발명의 실시 예에 따른 로그 데이터 관리 장치의 구조를 나타낸 블록도이다. 1 is a diagram illustrating a network system in which a log data management apparatus according to an embodiment of the present invention operates.
2 is a flowchart illustrating a log data management method according to an embodiment of the present invention.
3 is a block diagram showing a structure of a log data management apparatus according to an embodiment of the present invention.

본 명세서의 실시 예를 설명함에 있어 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략될 수 있다. In the description of the embodiments of the present invention, if it is determined that a detailed description of known configurations or functions related to the present invention can not be applied to the present invention, detailed description thereof may be omitted.

본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다." 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.  Quot ;, " include, " " include, " as used herein. And the like are intended to indicate the presence of disclosed features, operations, components, etc., and are not intended to limit the invention in any way. Also, in this specification, " include. &Quot; Or "have." , Etc. are intended to designate the presence of stated features, integers, steps, operations, components, parts, or combinations thereof, may be combined with one or more other features, steps, operations, components, It should be understood that they do not preclude the presence or addition of combinations thereof.

본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.As used herein, the singular forms "a", "an" and "the" include plural referents unless the context clearly dictates otherwise.

이하, 첨부된 도면을 참조하여 본 발명을 설명한다. Hereinafter, the present invention will be described with reference to the accompanying drawings.

도 1은 본 발명의 실시 예에 따른 로그 데이터 관리 장치가 동작하는 네트워크 시스템을 나타낸 도면이다. 1 is a diagram illustrating a network system in which a log data management apparatus according to an embodiment of the present invention operates.

도 1을 참조하면, 본 발명에 따른 네트워크 시스템은, 로그 데이터 관리 장치(100) 및 적어도 하나의 보안 장비(200-1, 200-2, 200-3)를 포함하여 구성될 수 있다. Referring to FIG. 1, the network system according to the present invention may include a log data management apparatus 100 and at least one security apparatus 200-1, 200-2, and 200-3.

본 발명의 다양한 실시 예에서, 로그 데이터 관리 장치(100)는 ESM(Enterprise Security Management), SIEM (Security Information & Event Management) 등과 같이 적어도 하나의 다른 보안 장비로부터 로그 데이터를 수신하여 통합 관리하는 통합 보안 관리 장치일 수 있다. In various embodiments of the present invention, the log data management apparatus 100 may include an integrated security system that receives log data from at least one other security device such as ESM (Enterprise Security Management), SIEM (Security Information & Event Management) Management device.

또한, 본 발명의 다양한 실시 예에서, 적어도 하나의 보안 장비(200-1, 200-2, 200-3)는 방화벽 장비, IPS(Intrusion Prevention System), VPN) Virtual Private Network) 장비, UTM(Unified Threat Management) 등, 기설정된 보안 정책에 따라 패킷의 위험 여부를 감지하고, 그에 따른 패킷 전송 허용/차단 등의 네트워크 보안 동작을 수행하는 장비일 수 있다.Also, in various embodiments of the present invention, the at least one security device 200-1, 200-2, 200-3 may include a firewall device, an Intrusion Prevention System (IPS), a Virtual Private Network (VPN) And a device for performing a network security operation such as allowing / disabling a packet transmission according to a predetermined security policy such as Threat Management (hereinafter, "Threat Management").

적어도 하나의 보안 장비(200-1, 200-2, 200-3)는 네트워크 보안 동작의 수행과정에서 발생하는 관련 데이터들을 로그 데이터로 생성하고 저장할 수 있다. 로그 데이터는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)에서 송수신되는 패킷에 관한, 정보, 패킷 분석 결과에 관한 정보, 패킷 처리 결과(이벤트 발생)에 관한 정보 중 적어도 하나를 포함할 수 있다.At least one security device 200-1, 200-2, and 200-3 may generate and store related data generated in the process of performing a network security operation as log data. The log data includes at least one of information about packets transmitted and received by at least one security device 200-1, 200-2, and 200-3, information about the result of packet analysis, information about a result of packet processing (event generation) . ≪ / RTI >

적어도 하나의 보안 장비(200-1, 200-2, 200-3)는 생성된 로그 데이터를 로그 데이터 관리 장치(100)로 전송할 수 있다.At least one of the security devices 200-1, 200-2, and 200-3 may transmit the generated log data to the log data management apparatus 100. [

로그 데이터 관리 장치(100)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 수신되는 로그 데이터를 통합하여 저장하고 관리할 수 있다. 로그 데이터 관리 장치(100)는 통합된 로그 데이터를 분석하고, 이상 트래픽 발생 여부, 공격 패킷 수신 여부, 내부 정보 유출 여부 등에 대한 판단 결과에 따라 네트워크 보안을 수행할 수 있다. The log data management apparatus 100 may collectively store and manage log data received from at least one security device 200-1, 200-2, and 200-3. The log data management apparatus 100 analyzes the integrated log data, and can perform network security according to a result of determination as to whether abnormal traffic is generated, whether an attack packet is received, whether internal information is leaked, or the like.

본 발명의 다양한 실시 예에서, 로그 데이터 관리 장치(100)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 수신되는 로그 데이터를 정규화된 포맷을 변환하여 통합하고 저장할 수 있다. In various embodiments of the present invention, the log data management device 100 may convert log data received from at least one security device 200-1, 200-2, 200-3 into a normalized format for integration and storage have.

이하에서는, 로그 데이터 관리 장치(100)의 로그 데이터 정규화 방법에 대하여 구체적으로 설명한다. Hereinafter, the log data normalization method of the log data management apparatus 100 will be described in detail.

도 2는 본 발명의 실시 예에 따른 로그 데이터 관리 방법을 나타낸 순서도이다.2 is a flowchart illustrating a log data management method according to an embodiment of the present invention.

도 2를 참조하면, 본 발명에 따른 로그 데이터 관리 장치(100)는 먼저, 로그 데이터의 정규화 포맷을 정의할 수 있다(201).Referring to FIG. 2, the log data management apparatus 100 according to the present invention may first define a normalization format of log data (201).

로그 데이터 관리 장치(100)에서 수집되는 로그 데이터는, 해당 로그 데이터를 생성하여 전송한 보안 장비의 종류, 공급자 등에 따라 다양한 포맷을 가질 수 있다.The log data collected by the log data management apparatus 100 may have various formats depending on the type and supplier of the security apparatus that generated and transmitted the log data.

일 실시 예에서, 보안 장비가 방화벽 장비인 경우, 로그 데이터 포맷의 일 형태는 하기의 표 1과 같을 수 있다.  In one embodiment, when the security device is a firewall device, one form of log data format may be as shown in Table 1 below.

<14>1 2016-11-04T08:33:18.377414Z [TRAFFIC_SESSION] [11.4.9.117]start_time="2016-11-04 17:33:18" end_time="2016-11-04 17:33:18" duration=0 machine_name=localhost fw_rule_id=1 ingres_if=INT input interface=eth2 user_id= src_ip=2001:2b8:28:fffd:1ff:ffff:9:233 src_country=KR xff_ip=- src_port=9738 dst_ip=2600:1417:5a:39e::201a dst_country=US dst_port=80 nat_rule_id=- protocol=TCP app_protocol=- application_name=- app_cate_name=- action=allow[ipv6] terminate_reason=TCP Session Install packets_total=1 packets_forward=1 packets_backward=0 bytes_total=90 bytes_forward=90 bytes_backward=0 fragment_info= flag_record=SYN Only / Timeout [S:-] sessionid=7566047374032168330 is_ssl=no authtype=- vpn_tunnel_id=- vlanid=- extented_header=-<14> 1 2016-11-04T08: 33: 18.377414Z [TRAFFIC_SESSION] [11.4.9.117] start_time = "2016-11-04 17:33:18" end_time = "2016-11-04 17:33:18" duration = 0 machine_name = localhost fw_rule_id = 1 ingres_if = INT input interface = eth2 user_id = src_ip = 2001: 2b8: 28: fffd: 1ff: ffff: 9: 233 src_country = KR xff_ip = - src_port = 9738 dst_ip = 2600: 1417: 5a: 39e :: 201a dst_country = US dst_port = 80 nat_rule_id = - protocol = TCP app_protocol = - application_name = - app_cate_name = - action = allow [ipv6] terminate_reason = TCP Session Install packets_total = 1 packets_forward = 1 packets_backward = 0 bytes_total = 90 bytes_forward = 90 bytes_backward = 0 fragment_info = flag_record = SYN Only / Timeout [S: -] sessionid = 7566047374032168330 is_ssl = no authtype = - vpn_tunnel_id = - vlanid = - extented_header =

상기한 로그 데이터의 일 형태를 참조하면, 로그 데이터는 적어도 하나의 필드값 및 그에 각각 대응하는 적어도 하나의 키 값, 및 구분자를 포함하여 구성될 수 있다. Referring to one form of the log data, the log data may include at least one field value, at least one key value corresponding thereto, and a delimiter.

예를 들어, 상기한 로그 데이터의 일 형태에서 패킷의 출발지 IP 주소를 나타내는 필드값은 src_ip, 그에 대한 키 값은 2001:2b8:28:fffd:1ff:ffff:9:233이다. 또한, 상기한 로그 데이터의 일 형태에서 패킷의 출발지 포트 번호를 나타내는 필드값은 src_port, 목적지 IP 주소를 나타내는 필드값은 dst_ip, 목적지 포트 번호를 나타내는 필드값은 dst_port, 프로토콜을 나타내는 필드값은 protocol이며, 각각의 키 값은 9738, 2600:1417:5a:39e::201a, 80, TCP이다. 또한, 상기한 로그 데이터의 일 형태에서, 각 필드의 구분자는 스페이스 문자(' ', 공백)이다. For example, in one form of the log data, the field value indicating the source IP address of the packet is src_ip, and the key value thereof is 2001: 2b8: 28: fffd: 1ff: ffff: 9: 233. In one form of the log data, the field value indicating the source port number of the packet is src_port, the field value indicating the destination IP address is dst_ip, the field value indicating the destination port number is dst_port, and the field value indicating the protocol is protocol , And the key values are 9738, 2600: 1417: 5a: 39e :: 201a, 80, TCP. In one form of the log data, the delimiter of each field is a space character ('', blank).

상기한 예는, 로그 데이터 포맷의 일 형태에 관한 것으로, 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 수신되는 로그 데이터의 포맷은 보안 장비의 종류 및 공급자에 따라 다양한 형태를 가질 수 있다. The above example relates to one form of the log data format, and the format of the log data received from at least one security device 200-1, 200-2, 200-3 may be various And the like.

일 예로, 로그 데이터 포맷에 따라 출발지 IP 주소의 필드값은, src_ip, source-ip, srcip, sourceip 등과 같이 다양하게 정의될 수 있다. 마찬가지로, 로그 데이터 포맷에 따라 출발지 포트 번호의 필드값은, src_port, source_port, sreport, sourceport 등으로, 목적지 IP 주소의 필드값은, dst_ip, destination-ip, dstip, destinatioip 등으로, 목적지 포트 번호의 필드값은, dst_port, destinationport, dstport, destinationport 등으로, 프로토콜은 protocol 등으로 다양하게 정의될 수 있다. 또한, 로그 데이터 포맷에 따라 구분자는 스페이스 문자, 쉼표, 세로 바(“|”) 등 다양하게 정의될 수 있다. For example, the field value of the source IP address according to the log data format may be variously defined as src_ip, source-ip, srcip, sourceip, and so on. Similarly, the field values of the source port number are set to src_port, source_port, sreport, sourceport, and the field values of the destination IP address are set to dst_ip, destination-ip, dstip, destinatioip, The values can be variously defined as dst_port, destinationport, dstport, destinationport, and so on. Also, depending on the log data format, delimiters can be defined in various ways such as a space character, a comma, and a vertical bar (&quot; | &quot;).

로그 데이터 관리 장치(100)는 보안 장비 별로 다양하게 정의되는 로그 데이터의 포맷을 통합할 수 있는 정규화 포맷을 정의할 수 있다. The log data management apparatus 100 may define a normalization format capable of integrating various formats of log data defined for each security device.

정규화 포맷은 로그 데이터 관리 장치(100)가 통합하여 관리해야 하는 로그 데이터의 필드에 대하여, 적어도 하나의 보안 장비(200-1, 200-2, 200-3)에서 정의되는 필드값 및 상기 로그 데이터 관리 장치(100)가 정규화 포맷으로 사용할 필드값을 포함하여 구성될 수 있다. 구체적으로, 정규화 포맷은 적어도 하나의 보안 장비(200-1, 200-2, 200-3)에서 다양하게 정의되는 필드값을 하나의 정규화 필드값에 매핑하는 단어 사전 기법을 이용하여 정의될 수 있다. The normalization format is a format in which the field values defined in at least one security device 200-1, 200-2, and 200-3 and the log value of the log data to be managed by the log data management apparatus 100, The management device 100 may be configured to include a field value to be used in the normalization format. Specifically, the normalization format may be defined using a word dictionary technique that maps field values that are variously defined in at least one security device 200-1, 200-2, and 200-3 to one normalization field value .

일 실시 예에서, 로그 데이터 관리 장치(100)에 의하여 정의되는 정규화 포맷은 임의의 종류 또는 임의의 공급자에 의하여 정의된 로그 데이터의 포맷과 동일할 수도 있다. In one embodiment, the normalization format defined by the log data management device 100 may be the same as the format of log data defined by any kind or by any supplier.

일 실시 예에서, 정규화 포맷은 표 2와 같이 정의될 수 있다. In one embodiment, the normalization format may be defined as shown in Table 2.

정규화 포맷 필드값Normalization Format Field Value 이종 보안 장비 포맷 필드값Heterogeneous security device format field value 출발지 IPOrigin IP src_ip, source-ip, srcip, sourceip,…src_ip, source-ip, srcip, sourceip, ... 출발지 포트From port src_port, source_port, sreport, sourceport,…src_port, source_port, sreport, sourceport, ... 목적지 IPDestination IP dst_ip, destination-ip, dstip, destinatioip,…dst_ip, destination-ip, dstip, destinationType, ... 목적지 포트Destination port dst_port, destinationport, dstport, destinationport,…dst_port, destinationport, dstport, destinationport, ... 프로토콜protocol protocol,…protocol, ... ' '(구분자)' '(Separator) ' ', ',', '|', …'', ',', '|', ...

로그 데이터 관리 장치(100)는 정의된 로그 데이터의 정규화 포맷을 저장할 수 있고, 로그 데이터 관리 장치(100)의 사용자 또는 외부로부터의 요청에 따라, 또는 기설정된 주기에 따라 로그 데이터의 정규화 포맷을 수정, 갱신하거나 외부로 전송할 수 있다.The log data management apparatus 100 may store the normalization format of the defined log data and may modify the normalization format of the log data according to a request from the user or outside of the log data management apparatus 100 or according to a predetermined period , Can be updated or transmitted to the outside.

다음으로, 로그 데이터 관리 장치(100)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 로그 데이터가 수신되는지 여부를 판단할 수 있다(202).Next, the log data management apparatus 100 may determine whether log data is received from at least one security device 200-1, 200-2, and 200-3 (202).

적어도 하나의 보안 장비(200-1, 200-2, 200-3)는 로그 데이터를 생성할 때마다, 또는 기설정된 주기에 따라 로그 데이터 관리 장치(100)로 로그 데이터를 전송할 수 있다. 로그 데이터 관리 장치(100)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)가 전송하는 로그 데이터를 수신할 수 있다. At least one of the security devices 200-1, 200-2, and 200-3 can transmit log data to the log data management apparatus 100 every time the log data is generated or according to a predetermined period. The log data management apparatus 100 may receive log data transmitted by at least one of the security devices 200-1, 200-2, and 200-3.

또는 로그 데이터 관리 장치(100)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로 로그 데이터 요청을 전송하고, 그에 대한 응답으로 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 로그 데이터를 수신할 수 있다. Or log data management apparatus 100 transmits a log data request to at least one security device 200-1, 200-2, 200-3, and transmits at least one security device 200-1, 200-2, -2, and 200-3.

적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 로그 데이터가 수신되면, 로그 데이터 관리 장치(100)는 수신된 로그 데이터를 기정의된 정규화 포맷으로 변환할 수 있다(203).When the log data is received from at least one security device 200-1, 200-2, 200-3, the log data management apparatus 100 may convert the received log data into a predetermined normalization format (203 ).

구체적으로, 로그 데이터 관리 장치(100)는 수신된 로그 데이터로부터 적어도 하나의 보안 장비(200-1, 200-2, 200-3)에서 다양하게 정의되는 필드값을 식별하고, 식별된 필드값에 대응하는 정규화 포맷을 판단할 수 있다. 로그 데이터 관리 장치(100)는 식별된 필드값에 대응하는 키 값을 추출하여 정규화 포맷에 대응시키고, 정규화 포맷과 그에 대응된 키 값을 정규화된 포맷의 로그 데이터로 기록할 수 있다. Specifically, the log data management apparatus 100 identifies variously defined field values from at least one security device 200-1, 200-2, and 200-3 from the received log data, The corresponding normalization format can be determined. The log data management apparatus 100 may extract a key value corresponding to the identified field value and associate it with the normalization format and record the normalization format and the key value corresponding thereto in the log data of the normalized format.

일 실시 예에서, 임의의 보안 장비로부터 수신된 로그 데이터가 표 3과 같은 경우, 표 2와 같이 정의된 정규화 포맷에 의하여 변환된 로그 데이터는 표 4와 같을 수 있다.In one embodiment, when the log data received from any security device is as shown in Table 3, the log data converted by the normalization format defined as shown in Table 2 may be as shown in Table 4.

...
src_ip=2001:2b8:28:fffd:1ff:ffff:9:233 src_port=9738 dst_ip=2600:1417:5a:39e::201a dst_port=80 protocol=TCP
......
src_ip = 2001: 2b8: 28: fffd: 1ff: ffff: 9: 233 src_port = 9738 dst_ip = 2600: 1417: 5a: 39e :: 201a dst_port = 80 protocol =
...

...
출발지 IP=2001:2b8:28:fffd:1ff:ffff:9:233 출발지 포트=9738 목적지 IP=2600:1417:5a:39e::201a 목적지 포트=80 프로토콜=TCP
......
Origin Port = 9738 Destination IP = 2600: 1417: 5a: 39e :: 201a Destination Port = 80 Protocol = TCP Destination IP = 2001: 2b8: 28: fffd: 1ff: ffff:
...

상술한 로그 데이터의 변환 방법은 일 실시 예에 불과하며, 로그 데이터 관리 장치(100)는 데이터 포맷 변환을 지원하는 다양한 알고리즘을 이용하여 로그 데이터를 정규화 포맷을 변환할 수 있다. The log data conversion method described above is only an embodiment, and the log data management apparatus 100 can convert the log data into the normalization format using various algorithms that support data format conversion.

이후에, 로그 데이터 관리 장치(100)는 정규화 포맷으로 변환된 로그 데이터를 저장하고 관리할 수 있다(204).Thereafter, the log data management apparatus 100 can store and manage the log data converted into the normalized format (204).

로그 데이터 관리 장치(100)는 정규화 포맷으로 변환된 로그 데이터를 최종 로그 데이터로써 통합하여 저장할 수 있다. 다양한 실시 예에서 로그 데이터 관리 장치(100)는 저장된 로그 데이터를 외부로 전송하거나 다양한 용도로 이용할 수 있다. The log data management apparatus 100 may integrate and store the log data converted into the normalized format as the final log data. In various embodiments, the log data management apparatus 100 may transmit stored log data to the outside or use it for various purposes.

일 예로, 로그 데이터 관리 장치(100)는 저장된 정규화 포맷의 로그 데이터를 분석하고, 그에 따른 네트워크 보안을 수행할 수 있다(205).As an example, the log data management apparatus 100 may analyze the log data of the stored normalization format and perform network security accordingly (205).

통합된 정규화 포맷의 로그 데이터를 분석하여, 이상 트래픽 발생 여부, 공격 패킷 수신 여부, 내부 정보 유출 여부 등에 대한 판단 결과에 따라 네트워크 보안을 수행할 수 있다. 일 예로, 로그 데이터 관리 정치(100)는 로그 데이터 분석 결과 및 상술한 판단 결과를 외부로 보고(report)하거나, 패킷 전송 허용/차단 동작을 수행할 수 있다. The log data of the integrated normalization format is analyzed and the network security can be performed according to the determination result of abnormal traffic occurrence, attack packet reception, and leakage of internal information. For example, the log data management unit 100 may report log data analysis results and the above-described determination results to the outside, or may perform a packet transmission permission / interception operation.

도 3은 본 발명의 실시 예에 따른 로그 데이터 관리 장치의 구조를 나타낸 블록도이다. 3 is a block diagram showing a structure of a log data management apparatus according to an embodiment of the present invention.

도 3을 참조하면, 본 발명의 실시 예에 따른 로그 데이터 관리 장치(100)는 통신부(110), 제어부(120) 및 저장부(130)를 포함하여 구성될 수 있다. 3, the log data management apparatus 100 according to the embodiment of the present invention may include a communication unit 110, a control unit 120, and a storage unit 130.

통신부(110)는 외부와 통신을 수행할 수 있다.The communication unit 110 can communicate with the outside.

본 발명의 다양한 실시 예에서, 통신부(110)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)와 데이터 통신을 수행할 수 있다. 구체적으로, 통신부(110)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 로그 데이터를 수신할 수 있다. In various embodiments of the present invention, the communication unit 110 may perform data communication with at least one security device 200-1, 200-2, and 200-3. Specifically, the communication unit 110 can receive log data from at least one security device 200-1, 200-2, and 200-3.

일 실시 예에서, 통신부(110)는 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로 로그 데이터 요청을 전송할 수도 있다. In one embodiment, the communication unit 110 may send a log data request to at least one security device 200-1, 200-2, 200-3.

제어부(120)는 본 발명에 따른 로그 데이터 관리 방법을 수행하기 위하여 로그 데이터 관리 장치(100)의 각 구성 요소들을 제어할 수 있다. The control unit 120 may control each component of the log data management apparatus 100 to perform the log data management method according to the present invention.

구체적으로, 제어부(120)는 정규화 포맷을 사전에 정의하여 저장하였다가, 적어도 하나의 보안 장비(200-1, 200-2, 200-3)로부터 로그 데이터가 수신되면, 수신된 로그 데이터를 정규화 포맷으로 변환하여 저장부(130)에 저장하고, 이를 주기적으로 관리할 수 있다. 또한, 제어부(120)는 정규화 포맷의 로그 데이터를 분석하고, 분석된 결과에 따라 다양한 네트워크 보안을 수행할 수 있다. Specifically, when the log data is received from at least one security device 200-1, 200-2, and 200-3, the control unit 120 defines and normalizes the normalized format, and normalizes the received log data Format, and stores it in the storage unit 130, and can periodically manage it. In addition, the controller 120 analyzes the log data in the normalized format and can perform various network security according to the analyzed result.

제어부(120)의 구체적인 동작은 도 2를 참조하여 설명한 바와 동일하므로, 자세한 설명은 생략한다.The detailed operation of the control unit 120 is the same as that described with reference to FIG. 2, and therefore a detailed description thereof will be omitted.

저장부(130)는 로그 데이터 관리 장치(100)의 동작을 위한 프로그램, 데이터 등을 저장할 수 있다. 이를 위하여, 저장부(130)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 xD 메모리 등), 램(Random Access Memory, RAM), SRAM(Static Random Access Memory), 롬(Read-Only Memory, ROM), EEPROM(Electrically Erasable Programmable Read-Only Memory), PROM(Programmable Read-Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다.The storage unit 130 may store a program, data, and the like for operation of the log data management apparatus 100. The storage unit 130 may be a flash memory type, a hard disk type, a multimedia card micro type, a card type memory (for example, an SD or xD memory A static random access memory (SRAM), a read-only memory (ROM), an electrically erasable programmable read-only memory (EEPROM), a programmable read-only memory (PROM) Magnetic disk, magnetic disk, magnetic disk, or optical disk.

본 발명의 다양한 실시 예에서, 저장부(130)는 제어부(120)에 의해 정의되는 로그 데이터의 정규화 포맷을 프로그램 코드, 테이블 형태 등으로 저장할 수 있다. In various embodiments of the present invention, the storage unit 130 may store the normalization format of the log data defined by the controller 120 as a program code, a table format, and the like.

본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It is to be understood that both the foregoing general description and the following detailed description of the present invention are exemplary and explanatory and are intended to provide further explanation of the invention as claimed. Accordingly, the scope of the present invention should be construed as being included in the scope of the present invention, all changes or modifications derived from the technical idea of the present invention.

100: 로그 데이터 관리 장치
110: 통신부
120: 제어부
130: 저장부
200-1, 200-2, 200-3: 보안 장비100: log data management device
110:
120:
130:
200-1, 200-2, 200-3: Security equipment

Claims (10)

로그 데이터의 정규화 포맷을 정의하는 단계;
적어도 하나의 보안 장비로부터 로그 데이터가 수신되면, 상기 로그 데이터를 상기 기정의된 로그 데이터의 정규화 포맷으로 변환하는 단계; 및
상기 정규화 포맷으로 변환된 로그 데이터를 저장하는 단계를 포함하는 것을 특징으로 하는 로그 데이터 관리 방법. Defining a normalization format of the log data;
If the log data is received from at least one security device, converting the log data into a normalized format of the predetermined log data; And
And storing the converted log data in the normalized format. 제1항에 있어서, 상기 로그 데이터의 정규화 포맷을 정의하는 단계는,
상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값 및 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값를 매핑하는 단계를 포함하는 것을 특징으로 하는 로그 데이터 관리 방법. 2. The method of claim 1, wherein defining the normalization format of the log data comprises:
And mapping the field values of the log data defined in the at least one security device and the field values of the log data defined in the normalization format. 제2항에 있어서, 상기 로그 데이터의 필드값은,
동일한 필드에 대하여 상기 적어도 하나의 보안 장비의 종류 및 공급자 중 적어도 하나에 의하여 서로 다르게 정의되는 것을 특징으로 하는 로그 데이터 관리 방법. 3. The method of claim 2,
Wherein the at least one security device is defined differently by at least one of the type and provider of the at least one security device for the same field. 제2항에 있어서, 상기 로그 데이터를 상기 기정의된 로그 데이터의 정규화 포맷으로 변환하는 단계는,
상기 로그 데이터로부터 상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값을 식별하는 단계;
상기 식별된 로그 데이터의 필드값에 매핑된 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값을 판단하는 단계;
상기 식별된 로그 데이터의 필드값에 대응하는 키 값을 추출하는 단계; 및
상기 판단된 로그 데이터의 필드값에 상기 추출된 키 값을 대응시키는 단계를 포함하는 것을 특징으로 하는 로그 데이터 관리 방법.3. The method of claim 2, wherein transforming the log data into a normalized format of the predetermined log data comprises:
Identifying a field value of log data defined in the at least one security device from the log data;
Determining a field value of log data defined in the normalization format mapped to a field value of the identified log data;
Extracting a key value corresponding to a field value of the identified log data; And
And associating the extracted key value with a field value of the determined log data. 제1항에 있어서,
상기 정규화 포맷으로 변환된 로그 데이터를 분석하는 단계; 및
상기 분석 결과를 기초로 네트워크 보안을 수행하는 단계를 더 포함하는 것을 특징으로 하는 로그 데이터 관리 방법. The method according to claim 1,
Analyzing the log data converted into the normalization format; And
And performing network security based on the analysis result. 적어도 하나의 보안 장비와 데이터 통신을 수행하는 통신부;
기정의된 로그 데이터의 정규화 포맷을 저장하는 저장부; 및
상기 통신부를 통하여 상기 적어도 하나의 보안 장비로부터 로그 데이터가 수신되면, 상기 로그 데이터를 상기 기정의된 로그 데이터의 정규화 포맷으로 변환하여 상기 저장부에 저장하는 제어부를 포함하는 것을 특징으로 하는 로그 데이터 관리 장치. A communication unit for performing data communication with at least one security device;
A storage unit for storing a normalized format of the log data that has been set; And
And a controller for converting the log data into the normalized format of the predetermined log data and storing the log data in the storage unit when the log data is received from the at least one security device through the communication unit. Device. 제6항에 있어서, 상기 제어부는,
상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값 및 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값를 매핑하여, 상기 기정의된 로그 데이터의 정규화 포맷으로 상기 저장부에 저장하는 것을 특징으로 하는 로그 데이터 관리 장치.7. The apparatus of claim 6,
A field value of the log data defined in the at least one security device and a field value of the log data defined in the normalization format are mapped and stored in the storage unit in the normalized format of the log data set in the normalized format. Data management device. 제7항에 있어서, 상기 로그 데이터의 필드값은,
동일한 필드에 대하여 상기 적어도 하나의 보안 장비의 종류 및 공급자 중 적어도 하나에 의하여 서로 다르게 정의되는 것을 특징으로 하는 로그 데이터 관리 장치.The method as claimed in claim 7,
Wherein the at least one security device is defined differently by at least one of the type and provider of the at least one security device for the same field. 제7항에 있어서, 상기 제어부는,
상기 로그 데이터로부터 상기 적어도 하나의 보안 장비에서 정의되는 로그 데이터의 필드값을 식별하고, 상기 식별된 로그 데이터의 필드값에 매핑된 상기 정규화 포맷에서 정의되는 로그 데이터의 필드값을 판단하고, 상기 식별된 로그 데이터의 필드값에 대응하는 키 값을 추출하고, 상기 판단된 로그 데이터의 필드값에 상기 추출된 키 값을 대응시키는 것을 특징으로 하는 로그 데이터 관리 장치.8. The apparatus of claim 7,
Identifying a field value of log data defined in the at least one security device from the log data, determining a field value of log data defined in the normalization format mapped to a field value of the identified log data, Extracts a key value corresponding to a field value of the log data, and associates the extracted key value with a field value of the determined log data. 제6항에 있어서, 상기 제어부는,
상기 정규화 포맷으로 변환된 로그 데이터를 분석하고, 분석 결과를 기초로 네트워크 보안을 수행하는 것을 특징으로 하는 로그 데이터 관리 장치. 7. The apparatus of claim 6,
Analyzing the log data converted into the normalization format, and performing network security based on the analysis result.
KR1020170028451A 2017-03-06 2017-03-06 Method and apparatus for log data magement KR20180101907A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170028451A KR20180101907A (en) 2017-03-06 2017-03-06 Method and apparatus for log data magement

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170028451A KR20180101907A (en) 2017-03-06 2017-03-06 Method and apparatus for log data magement

Publications (1)

Publication Number Publication Date
KR20180101907A true KR20180101907A (en) 2018-09-14

Family

ID=63599647

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170028451A KR20180101907A (en) 2017-03-06 2017-03-06 Method and apparatus for log data magement

Country Status (1)

Country Link
KR (1) KR20180101907A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102669472B1 (en) * 2023-06-23 2024-05-27 인스피언 주식회사 Data management device, data management method and a computer-readable storage medium for storing data management program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102669472B1 (en) * 2023-06-23 2024-05-27 인스피언 주식회사 Data management device, data management method and a computer-readable storage medium for storing data management program

Similar Documents

Publication Publication Date Title
US10084713B2 (en) Protocol type identification method and apparatus
EP4224793A1 (en) Rule-based network-threat detection for encrypted communications
US10374913B2 (en) Data retention probes and related methods
US9660833B2 (en) Application identification in records of network flows
US20180351979A1 (en) Forensic analysis
US10498618B2 (en) Attributing network address translation device processed traffic to individual hosts
CN112217771B (en) Data forwarding method and data forwarding device based on tenant information
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
CN104639391A (en) Method for generating network flow record and corresponding flow detection equipment
CN103095709B (en) Safety protecting method and device
CN111865996A (en) Data detection method and device and electronic equipment
CN107995321A (en) A kind of VPN client acts on behalf of the method and device of DNS
EP3016423A1 (en) Network safety monitoring method and system
KR101772681B1 (en) Firewall Apparatus and Driving Method Thereof
CN108712369A (en) A kind of more attribute constraint access control decision system and method for industrial control network
KR20180101907A (en) Method and apparatus for log data magement
CN102724068B (en) Method for identifying audit log asset in internet protocol version 6 (IPv6) mixed network
KR101619371B1 (en) Method and apparatus for packet processing
CN114124551B (en) Malicious encryption traffic identification method based on multi-granularity feature extraction under WireGuard protocol
US20160112488A1 (en) Providing Information of Data Streams
CN113660291B (en) Method and device for preventing malicious tampering of intelligent large-screen display information
CN112640392B (en) Trojan horse detection method, device and equipment
CN106878338B (en) Telecontrol equipment gateway firewall integrated machine system
AU2016374990B2 (en) Apparatus and method for forwarding data packets
US20220407947A1 (en) Operation management method for network device without address information, and network device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application