KR20190020523A - Apparatus and method for detecting attack by using log analysis - Google Patents

Apparatus and method for detecting attack by using log analysis Download PDF

Info

Publication number
KR20190020523A
KR20190020523A KR1020170105578A KR20170105578A KR20190020523A KR 20190020523 A KR20190020523 A KR 20190020523A KR 1020170105578 A KR1020170105578 A KR 1020170105578A KR 20170105578 A KR20170105578 A KR 20170105578A KR 20190020523 A KR20190020523 A KR 20190020523A
Authority
KR
South Korea
Prior art keywords
node
mapped
attack
log
tree structure
Prior art date
Application number
KR1020170105578A
Other languages
Korean (ko)
Other versions
KR102022626B1 (en
Inventor
김동화
신동규
김두회
신동일
김용현
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020170105578A priority Critical patent/KR102022626B1/en
Publication of KR20190020523A publication Critical patent/KR20190020523A/en
Application granted granted Critical
Publication of KR102022626B1 publication Critical patent/KR102022626B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

According to an embodiment of the present invention, an apparatus for detecting an attack by using a log analysis comprises: a log analyzing unit for detecting occurrence of a predetermined event based on a log of a terminal; an attack detection unit for determining whether the predetermined event exists among events mapped to each node based on a tree structure which is a structure mapped with a series of events that occur when a cyberattack occurs sequentially to each node connected from a leaf node toward a root node; and an attack responding unit for performing countermeasures against a cyberattack when the attack detection unit determines that the predetermined event has occurred up to a predetermined level in the tree structure in the order of events mapped to each node connected from the leaf node toward the root node.

Description

로그 분석을 이용한 공격 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING ATTACK BY USING LOG ANALYSIS}[0001] APPARATUS AND METHOD FOR DETECTING ATTACK BY USING LOG ANALYSIS [0002]

본 발명은 로그 분석을 이용한 공격 탐지 장치 및 방법에 관한 것으로서, 보다 자세하게는 로그를 분석하여 사이버 공격을 탐지하는 로그 분석을 이용한 공격 탐지 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for detecting an attack using log analysis, and more particularly, to an apparatus and method for detecting an attack using log analysis for detecting a cyber attack by analyzing a log.

정보화 기술이 발달함에 따라 현대 사회는 네트워크에 대한 의존도가 증가하고 있다. 이에 따라, 사이버 공격을 통해 네트워크에 대한 비인가 접근 권한을 획득하여 보안이 요구되는 정보를 악의적으로 탈취하는 사례가 증가하고 있어 그에 따른 네트워크 보안의 중요성도 커지고 있다. As information technology develops, modern society is increasingly dependent on networks. Accordingly, the number of cases in which unauthorized access to a network is acquired through a cyber attack and malicious exploitation of information requiring security is increasing, and the importance of network security is also increasing.

사이버 공격자는 자신의 특정 목적을 달성하기 위하여 공격 대상 네트워크에 내재된 취약점을 이용하여 교묘하고 지능화된 해킹 기술로 공격을 행하고 있다. 이에 따라, 네트워크에 내재된 취약성의 탐지를 위한 취약성 분석도구나 위험 분석 도구와 같은 자동화 도구들이 개발되고 있으며, 사이버 공격의 특징, 패턴, 유형 등에 대한 연구와 이에 따른 대응 기술에 관한 연구가 활발히 진행되고 있다. A cyber attacker is attacking with a clever and intelligent hacking technique using vulnerabilities inherent in the target network in order to achieve its specific purpose. Therefore, automation tools such as vulnerability analysis tools and risk analysis tools for detecting vulnerabilities inherent in the network are being developed, and studies on the characteristics, patterns, and types of cyber attacks and their countermeasures have been actively conducted .

한국 공개특허공보 제10-2016-0146954호: 멀웨어의 추적 및 검출을 위한 시스템 및 방법Korean Patent Laid-Open Publication No. 10-2016-0146954: System and method for tracking and detecting malware

본 발명의 실시예에서 해결하고자 하는 과제는 네트워크에 연결된 단말의 로그에서 발생하고 있는 이벤트들이 사이버 공격이 진행될 때 발생하는 이벤트들과 일치하는지 판별하여 사이버 공격을 사전에 차단하는 기술을 제공하는 것이다. A problem to be solved by an embodiment of the present invention is to provide a technology for preventing a cyber attack from occurring by determining whether events occurring in a log of a terminal connected to a network coincide with events occurring when a cyber attack occurs.

또한 네트워크에 연결된 단말에서 발생하는 비정형적인 동작들이 사이버 공격을 진행하기 위해 발생하는 일련의 이벤트인지 미리 탐지하는 기술을 제공하고자 한다. The present invention also provides a technology for detecting beforehand whether a random event occurring in a terminal connected to a network is a series of events that occur in order to execute a cyber attack.

다만, 본 발명의 실시예가 이루고자 하는 기술적 과제는 이상에서 언급한 과제로 제한되지 않으며, 이하에서 설명할 내용으로부터 통상의 기술자에게 자명한 범위 내에서 다양한 기술적 과제가 도출될 수 있다.It is to be understood that both the foregoing general description and the following detailed description are exemplary and explanatory and are intended to provide further explanation of the invention as claimed.

본 발명의 일 실시예에 따른 로그 분석을 이용한 공격 탐지 장치는 단말의 로그를 기초로 소정의 이벤트의 발생 여부를 탐지하는 로그 분석부, 사이버 공격이 진행될 때 발생하는 일련의 이벤트 각각이 리프 노드로부터 루트 노드를 향해 연결된 각 노드에 순서대로 매핑된 트리 구조를 기초로 상기 소정의 이벤트가 상기 각 노드에 매핑된 이벤트 중에 존재하는지 판별하는 공격 탐지부 및 상기 소정의 이벤트가 어느 하나의 리프 노드로부터 상기 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 상기 트리 구조의 기 지정된 레벨까지 발생한 것으로 상기 공격 탐지부가 판별한 경우, 상기 사이버 공격에 대응하기 위한 대응 동작을 수행하는 공격 대응부를 포함한다. An attack detection apparatus using log analysis according to an embodiment of the present invention includes a log analyzer for detecting occurrence of a predetermined event based on a log of a terminal, a log analyzer for analyzing whether a series of events occurring when a cyber attack occurs, An attack detection unit for determining whether the predetermined event is present in an event mapped to each node based on a tree structure sequentially mapped to each node connected to the root node, And an attack counterpart performing an action corresponding to the cyber attack when the attack detecting unit determines that the event has occurred up to a predetermined level in the tree structure in the order of events mapped to each node connected to the root node.

이때 상기 로그 분석부는 상기 사이버 공격이 진행되지 않은 경우에 상기 단말에서 발생한 로그와 상기 단말에서 실시간으로 발생하는 로그를 비교하여 상기 소정의 이벤트의 발생 여부를 탐지할 수 있다. At this time, the log analyzer can detect whether the predetermined event is generated by comparing a log generated in the terminal and a log generated in real time in the terminal when the cyber attack does not proceed.

또한 상기 트리 구조의 두번째 레벨의 노드에는 상기 사이버 공격의 목적이 매핑되어 있고, 상기 리프 노드로부터 상기 두번째 레벨의 노드를 향해 연결된 각 노드에는 상기 두번째 레벨의 노드에 매핑된 목적의 사이버 공격이 진행될 때 발생하는 일련의 이벤트의 각각이 순서대로 매핑되어 있고, 상기 루트 노드는 상기 두번째 레벨의 노드를 결집시킬 수 있다. In addition, the purpose of the cyber attack is mapped to a second level node of the tree structure, and each node connected from the leaf node toward the second level node is subjected to a cyber attack aimed at the second level node Each of a series of events that occur is mapped in order, and the root node can aggregate the second level node.

더불어 상기 공격 대응부는 상기 소정의 이벤트가 상기 어느 하나의 리프 노드로부터 상기 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 상기 트리 구조의 세번째 레벨까지 발생한 것으로 상기 공격 탐지부가 판별한 경우, 상기 단말에 상기 어느 하나의 리프 노드로부터 상기 루트 노드를 향해 연결된 각 노드 중 두번째 레벨의 노드에 매핑된 목적의 사이버 공격이 진행되고 있음을 통보할 수 있다. When the attack detecting unit determines that the predetermined event has occurred to the third level of the tree structure in the order of events mapped to each node connected from the one leaf node toward the root node, It is possible to inform the terminal that the target cyber attack mapped to the second level node among the nodes connected from the one leaf node toward the root node is proceeding.

아울러 상기 공격 대응부는 상기 소정의 이벤트가 상기 어느 하나의 리프 노드로부터 상기 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 상기 트리 구조의 두번째 레벨까지 발생한 것으로 상기 공격 탐지부가 판별한 경우, 상기 단말의 네트워크 연결을 차단할 수 있다. When the attack detecting unit determines that the predetermined event has occurred up to the second level of the tree structure in the order of events mapped to each node connected from the one leaf node toward the root node, The network connection of the terminal can be blocked.

또한 상기 각 노드에는 상기 각 노드에 매핑된 이벤트가 발생한 것으로 판별될 경우의 대응 동작이 추가적으로 매핑되어 있고, 상기 공격 대응부는 상기 소정의 이벤트가 상기 리프 노드로부터 상기 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 발생하는 경우 상기 각 노드에 매핑된 대응 동작을 수행할 수 있다. The corresponding action is additionally mapped to each of the nodes when it is determined that an event mapped to each node is generated. The attack handling unit maps the predetermined event to each node connected from the leaf node to the root node And the corresponding events mapped to the nodes are generated when the event occurs in the order of the events.

더불어 상기 공격 탐지부는 상기 소정의 이벤트가 상기 로그 분석부에 의해 탐지되고 상기 각 노드에 매핑된 이벤트 중에 존재하는 것으로 판별하면, 상기 소정의 이벤트가 매핑된 노드가 식별되도록 시각화된 상기 트리 구조를 상기 단말에 전송할 수 있다. In addition, the attack detection unit may further include a tree structure that is visualized to identify a node to which the predetermined event is mapped if it is determined that the predetermined event is detected by the log analysis unit and exists in an event mapped to each node To the terminal.

본 발명의 일 실시예에 따른 로그 분석을 이용한 공격 탐지 방법은 하나 이상의 프로세서에 의해 수행되고, 단말의 로그를 기초로 소정의 이벤트의 발생 여부를 탐지하는 단계, 사이버 공격이 진행될 때 발생하는 일련의 이벤트의 각각의 리프 노드로부터 루트 노드를 향해 연결된 각 노드에 순서대로 매핑된 트리 구조를 기초로 상기 소정의 이벤트가 상기 각 노드에 매핑된 이벤트 중에 존재하는지 판별하는 단계 및 상기 소정의 이벤트가 상기 리프 노드로부터 상기 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 상기 트리 구조의 기 지정된 레벨까지 발생한 것으로 판별된 경우, 상기 사이버 공격에 대응하기 위한 대응 동작을 수행하는 단계를 포함한다. A method for detecting an attack using log analysis according to an embodiment of the present invention includes detecting a predetermined event based on a log of a terminal, performed by one or more processors, detecting a series of events occurring when a cyber attack occurs Determining whether the predetermined event is present in an event mapped to each node based on a tree structure sequentially mapped to each node connected from a leaf node of each event to a root node, And performing a corresponding operation for responding to the cyber attack when it is determined that the event is mapped to a predetermined level of the tree structure in the order of events mapped to each node connected from the node toward the root node.

본 발명의 실시예에 따르면, 네트워크에 연결된 단말에서 발생하는 로그를 기초로 사이버 공격의 가능성을 탐지하여 미리 대처할 수 있다. According to the embodiment of the present invention, it is possible to detect the possibility of a cyber attack based on a log generated at a terminal connected to a network and to cope with it beforehand.

특히, 사이버 공격이 특정 목표를 달성하기 위해 단말에 발생시키는 이벤트들의 순서가 매핑되어 있는 트리 구조를 통해, 단말에서 발생하고 있는 비정형적인 동작들이 사이버 공격이 진행될 때 발생하는 이벤트의 순서와 일치하는지 판별하여, 각 이벤트 발생에 따른 적절한 대응 동작을 수행하여 사이버 공격이 완료되기 전에 효과적으로 대처할 수 있다. Particularly, through the tree structure in which the order of the events generated by the cyber attack to the terminal is mapped to the specific terminal, it is determined whether the atypical operations occurring in the terminal coincide with the order of the events occurring when the cyber attack proceeds Accordingly, it is possible to effectively cope with the cyber attack before the cyber attack is completed by appropriately responding to the occurrence of each event.

또한 사이버 공격이 진행될 때 발생하는 일련의 이벤트의 진행 과정이 표시된 트리 구조를 단말에 제공하여 단말의 사용자가 사이버 공격의 진행 과정을 확인하여 스스로 대처할 수 있게 한다. In addition, a tree structure showing the progress of a series of events occurring when a cyber attack occurs is provided to the terminal so that the user of the terminal can confirm the progress of the cyberattack and cope with itself.

도 1은 본 발명의 일 실시예에 따른 로그 분석을 이용한 공격 탐지 시스템을 포함하는 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 로그 분석을 이용한 공격 탐지 장치의 기능 블럭도이다.
도 3은 본 발명의 일 실시예에 따른 로그 분석을 이용한 공격 탐지 장치의 구성의 역할을 설명하기 위한 예시도이다.
도 4는 사이버 공격이 진행될 때 발생하는 일련의 이벤트가 리프 노드로부터 루트 노드를 향해 연결된 각 노드에 순서대로 매핑되어 있는 트리 구조를 설명하기 위한 예시도이다.
도 5는 본 발명의 일 실시예에 따른 트리 구조를 생성하기 위해 사이버 공격이 진행될 때 발생하는 일련의 이벤트를 기록한 데이터 목록이다.
도 6은 scanning의 목적을 가진 사이버 공격이 발생한 경우 본 발명의 일 실시예에 따른 트리 노드를 설명하기 위한 예시도이다.
도 7은 maintain access 목적을 가진 사이버 공격이 발생한 경우 본 발명의 일 실시예에 따른 트리 노드를 설명하기 위한 예시도이다.
도 8은 본 발명의 일 실시예에 따른 로그 분석을 이용한 공격 탐지 방법의 단계를 도시하는 흐름도이다. 1 is a block diagram of a system including an attack detection system using log analysis according to an embodiment of the present invention.
2 is a functional block diagram of an attack detection apparatus using log analysis according to an embodiment of the present invention.
3 is an exemplary diagram illustrating the role of the configuration of an attack detection apparatus using log analysis according to an embodiment of the present invention.
4 is an exemplary diagram for explaining a tree structure in which a series of events occurring when a cyber attack proceeds are sequentially mapped to nodes connected from a leaf node toward a root node.
FIG. 5 is a data list in which a series of events occurring when a cyber attack is performed to generate a tree structure according to an embodiment of the present invention.
FIG. 6 is an exemplary diagram for explaining a tree node according to an embodiment of the present invention when a cyber attack with the purpose of scanning is generated.
7 is an exemplary diagram for explaining a tree node according to an embodiment of the present invention when a cyber attack with maintain access purpose occurs.
FIG. 8 is a flowchart illustrating steps of an attack detection method using log analysis according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다.  그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 범주는 청구항에 의해 정의될 뿐이다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention and the manner of achieving them will become apparent with reference to the embodiments described in detail below with reference to the accompanying drawings. It should be understood, however, that the invention is not limited to the disclosed embodiments, but may be embodied in various forms and should not be construed as limited to the embodiments set forth herein, To fully disclose the scope of the invention to a person skilled in the art, and the scope of the invention is only defined by the claims.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명은 본 발명의 실시예들을 설명함에 있어 실제로 필요한 경우 외에는 생략될 것이다.  그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다.  그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In describing embodiments of the present invention, a detailed description of well-known functions or constructions will be omitted unless otherwise described in order to describe embodiments of the present invention. The following terms are defined in consideration of the functions in the embodiments of the present invention, which may vary depending on the intention of the user, the intention or the custom of the operator. Therefore, the definition should be based on the contents throughout this specification.

도면에 표시되고 아래에 설명되는 기능 블록들은 가능한 구현의 예들일 뿐이다. 다른 구현들에서는 상세한 설명의 사상 및 범위를 벗어나지 않는 범위에서 다른 기능 블록들이 사용될 수 있다. 또한 본 발명의 하나 이상의 기능 블록이 개별 블록들로 표시되지만, 본 발명의 기능 블록들 중 하나 이상은 동일 기능을 실행하는 다양한 하드웨어 및 소프트웨어 구성들의 조합일 수 있다.The functional blocks shown in the drawings and described below are merely examples of possible implementations. In other implementations, other functional blocks may be used without departing from the spirit and scope of the following detailed description. Also, while one or more functional blocks of the present invention are represented as discrete blocks, one or more of the functional blocks of the present invention may be a combination of various hardware and software configurations that perform the same function.

또한 어떤 구성 요소들을 포함한다는 표현은 개방형의 표현으로서 해당 구성 요소들이 존재하는 것을 단순히 지칭할 뿐이며, 추가적인 구성 요소들을 배제하는 것으로 이해되어서는 안 된다.Also, to the extent that the inclusion of certain elements is merely an indication of the presence of that element as an open-ended expression, it should not be understood as excluding any additional elements.

나아가 어떤 구성 요소가 다른 구성 요소에 연결되어 있다거나 접속되어 있다고 언급될 때에는, 그 다른 구성 요소에 직접적으로 연결 또는 접속되어 있을 수도 있지만, 중간에 다른 구성 요소가 존재할 수도 있다고 이해되어야 한다. Further, when a component is referred to as being connected or connected to another component, it may be directly connected or connected to the other component, but it should be understood that there may be other components in between.

이하에서는 도면들을 참조하여 본 발명의 실시예들에 대해 설명하도록 한다. Hereinafter, embodiments of the present invention will be described with reference to the drawings.

도 1은 본 발명의 일 실시예에 따른 로그 분석을 이용한 공격 탐지 시스템을 포함하는 시스템의 구성을 나타낸 도면이다.1 is a block diagram of a system including an attack detection system using log analysis according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 로그 분석을 이용한 공격 탐지 시스템은 로그 분석을 이용한 공격 탐지 장치(100) 및 단말(200)을 포함한다. 이때 로그 분석을 이용한 공격 탐지 장치(100)와 단말(200)은 네트워크를 통해 연결될 수 있으며, 단말(200) 중에서는 네트워크 내에서 사이버 공격을 감행하는 단말(201)이 포함될 수 있다. Referring to FIG. 1, an attack detection system using log analysis according to an embodiment of the present invention includes an attack detection apparatus 100 and a terminal 200 using log analysis. At this time, the attack detection apparatus 100 using the log analysis and the terminal 200 can be connected through the network, and among the terminal 200, the terminal 201 performing the cyber attack in the network can be included.

단말(200)은 외부망 또는 내부망으로 이루어진 네트워크에 연결되어 다른 단말(200)들과 데이터를 교환할 수 있는 장치로서, 예를 들면 컴퓨터, 스마트폰, 노트북 등의 장치를 포함할 수 있다. 이때 사이버 공격자는 네트워크 내의 특정 단말(201)에 대해 비인가 접근 권한을 획득하여 보안이 요구되는 정보를 특정 단말(201)을 이용해 네트워크에 연결된 다른 단말(200)로부터 악의적으로 탈취할 수 있다. The terminal 200 is connected to a network including an external network or an internal network and is capable of exchanging data with other terminals 200. The terminal 200 may include, for example, a computer, a smart phone, or a notebook computer. At this time, the cyber attacker may acquire the unauthorized access right to the specific terminal 201 in the network and maliciously take out the information requiring the security from the other terminal 200 connected to the network using the specific terminal 201.

로그 분석을 이용한 공격 탐지 장치(100)는 네트워크에 연결된 단말(200)의 로그에서 발생하고 있는 이벤트들이 사이버 공격이 진행될 때 발생하는 이벤트들과 일치하는지 판별하여 사이버 공격을 사전에 차단한다. 이때 로그 분석을 이용한 공격 탐지 장치(100)는 네트워크에 연결된 단말 중 하나일 수 있으며, 또는 네트워크를 관리하는 관리 서버일 수 있다. 이에, 도 2 및 도 3과 함께 본 발명의 일 실시예에 따른 로그 분석을 이용한 공격 탐지 장치(100)의 구성을 설명한다. The attack detection apparatus 100 using the log analysis determines whether events occurring in the log of the terminal 200 connected to the network coincide with events occurring when the cyber attack proceeds, thereby blocking the cyber attack in advance. The attack detection apparatus 100 using the log analysis may be one of the terminals connected to the network, or may be a management server managing the network. 2 and 3, the configuration of an attack detection apparatus 100 using log analysis according to an embodiment of the present invention will be described.

도 2는 본 발명의 일 실시예에 따른 로그 분석을 이용한 공격 탐지 장치(100)의 기능 블럭도이고, 도 3은 본 발명의 일 실시예에 따른 로그 분석을 이용한 공격 탐지 장치(100)의 구성의 역할을 설명하기 위한 예시도이다. FIG. 2 is a functional block diagram of an attack detection apparatus 100 using log analysis according to an embodiment of the present invention. FIG. 3 is a functional block diagram of an attack detection apparatus 100 using log analysis according to an embodiment of the present invention. As shown in Fig.

도 2를 참조하면, 본 발명의 일 실시예에 따른 로그 분석을 이용한 공격 탐지 장치(100)는 로그 분석부(110), 공격 탐지부(120) 및 공격 대응부(130)를 포함한다. Referring to FIG. 2, an attack detection apparatus 100 using log analysis according to an embodiment of the present invention includes a log analysis unit 110, an attack detection unit 120, and an attack counter 130.

로그 분석부(110)는 네트워크에 연결된 단말(200)에서 발생하는 로그를 기초로 단말(200)에서 발생하는 이벤트를 탐지한다. The log analysis unit 110 detects an event occurring in the terminal 200 based on a log generated in the terminal 200 connected to the network.

여기서 이벤트란, 단말(200)이 정상적으로 동작하는 상태에서 발생시키는 로그와 상이한 비정형적인 형태의 로그가 발생하는 경우, 비정형적인 형태의 로그가 나타내는 동작을 의미한다. 예를 들어, 평소에 단말(200)이 특정 프로그램을 사용할 때 열어두는 포트의 개수에 비해 백도어 공격이 진행될 때 열리는 포트의 개수가 증가한다는 특징이 있다. 이러한 사이버 공격의 특징에 기반하여, 로그 분석부(110)는 현재 단말(200)에서 발생하는 로그를 과거에 발생하였던 로그와 비교하였을 때, 현재 열려있는 포트의 개수가 과거 열려있는 포트의 개수에 비해 증가하였음을 나타내는 경우, 포트가 추가적으로 열리는 동작이 발생하였다는 이벤트를 탐지할 수 있다. Here, an event refers to an operation represented by an irregular-shaped log when a log of an irregular shape different from the log generated in a state where the terminal 200 normally operates is generated. For example, the number of ports that are opened when a backdoor attack is performed is increased compared to the number of ports that the terminal 200 normally uses when a specific program is used. Based on the characteristic of the cyber attack, the log analyzer 110 compares the log generated in the current terminal 200 with the log generated in the past, and determines that the number of currently opened ports is equal to the number of the previously opened ports , It is possible to detect that the port has an additional open event.

이를 위해, 로그 분석부(110)는 도 3에 도시된 바와 같이 단말(200)에 포함된 프로그램이 정상적으로 동작하는 경우 발생하였던 과거 로그와, 단말(200)에서 실시간으로 발생하는 현재 로그를 비교하여 특정 이벤트가 발생하는 지의 여부를 탐지할 수 있다. 이때 로그 분석을 이용한 공격 탐지 장치(100)는 단말(200)에 포함된 프로그램이 정상적으로 동작하였던 과거의 로그를 저장할 수 있는 메모리를 더 포함할 수 있다. 3, the log analyzer 110 compares a past log generated when a program included in the terminal 200 normally operates with a current log generated in real time from the terminal 200 It is possible to detect whether or not a specific event occurs. At this time, the attack detection apparatus 100 using the log analysis may further include a memory capable of storing past logs in which the programs included in the terminal 200 normally operate.

공격 탐지부(120)는 트리 구조로 이루어진 자료 구조를 기초로 로그 분석부(110)가 탐지한 이벤트가 사이버 공격이 진행될 때 발생하는 일련의 이벤트 중 하나인지 판별한다. 이때 트리 구조는 사이버 공격이 진행될 때 발생하는 일련의 이벤트들이 트리 구조의 리프 노드로부터 트리 구조의 루트 노드를 향해 연결된 각 노드에 순서대로 매핑될 수 있다. The attack detection unit 120 determines whether an event detected by the log analysis unit 110 based on a data structure having a tree structure is one of a series of events occurring when cyber attack proceeds. In this case, the tree structure can be sequentially mapped to each node connected from the leaf node of the tree structure to the root node of the tree structure.

이와 같은 트리 구조를 기초로 공격 탐지부(120)는 로그 분석부(110)가 탐지한 이벤트가 트리 구조의 각 노드에 매핑된 이벤트 중에 존재하는지 판별할 수 있다. 이때 공격 탐지부(120)는 로그 분석부(110)가 탐지한 일련의 이벤트가 트리 구조의 리프 노드로부터 루트 노드까지 연결된 노드에 매핑된 이벤트의 순서와 일치하는 경우, 그 일치 정도가 트리 구조의 상위 레벨까지 일치할수록 사이버 공격이 진행되고 있을 가능성이 더욱 높다고 예측할 수 있다.Based on the tree structure, the attack detection unit 120 can determine whether an event detected by the log analysis unit 110 exists in an event mapped to each node of the tree structure. In this case, when a series of events detected by the log analyzing unit 110 coincides with the sequence of events mapped to the nodes connected from the leaf node to the root node of the tree structure, It can be predicted that the higher the level is, the more likely the cyber attack is proceeding.

도 4는 사이버 공격이 진행될 때 발생하는 일련의 이벤트가 리프 노드로부터 루트 노드를 향해 연결된 각 노드에 순서대로 매핑되어 있는 트리 구조를 설명하기 위한 예시도이고, 도 5는 본 발명의 일 실시예에 따른 트리 구조를 생성하기 위해 사이버 공격이 진행될 때 발생하는 일련의 이벤트를 기록한 데이터 목록이다. 4 is an exemplary diagram for explaining a tree structure in which a series of events occurring when a cyber attack proceeds are sequentially mapped to respective nodes connected from a leaf node toward a root node, Is a list of data that records a series of events that occur when a cyber attack occurs to generate a tree structure.

도 4에 도시된 트리 구조는 도 5에 도시된 데이터 목록을 기초로 생성될 수 있다. 도 5에 도시된 데이터 목록의 첫번째 열에는 사이버 공격의 목적이 되는 이벤트(예: 스캐닝 이벤트, 접근 권한 획득 이벤트 등)가 기록될 수 있다. 그리고 두번째 열에는 첫번째 열에 기재된 각각의 사이버 목적을 달성하기 위해 수행되는 이벤트(예: 접근 권한 획득이라는 목적을 달성하기 위한 백도어 공격 이벤트, 트로잔 공격 이벤트 등)가 기록될 수 있다. 또한 세번째 열에는 두번째 열에 기록된 이벤트를 달성하기 위해 바로 직전에 수행되는 이벤트가 기록되고, 네번째 열에는 세번째 열에 기록된 이벤트를 달성하기 위해 수행되는 이벤트가 기록될 수 있다. The tree structure shown in Fig. 4 can be generated based on the data list shown in Fig. In the first column of the data list shown in FIG. 5, an event (for example, a scanning event, an access right acquisition event, etc.) that is a target of cyber attack may be recorded. In the second column, an event (eg, a backdoor attack event to achieve the purpose of obtaining access authority, a Trojan attack event, etc.) performed to achieve each of the cyber purposes described in the first column may be recorded. In the third column, an event immediately preceding the event recorded in the second column is recorded, and in the fourth column, an event performed to achieve the event recorded in the third column may be recorded.

이후, 도 5에 도시된 데이터 목록을 기초로 첫번째 열을 트리 구조의 두번째 레벨(Lv2), 두번째 열을 트리 구조의 세번째 레벨(Lv3) 네번째 열을 트리 구조의 다섯번째 레벨(Lv5)가 되도록 설정하고, 도 5의 같은 행에 있는 상위 레벨 노드를 하위 레벨 노드가 가리키도록 설정하여 도 4에 도시된 트리 구조를 생성할 수 있다. 이때 트리 구조의 루트 노드는 두번째 레벨(Lv2)의 노드를 하나의 트리 구조로 결집시켜, 여러 종류의 사이버 공격에 대해 각각의 트리 구조가 생성될 필요 없이 하나의 트리 구조로서 관리되도록 할 수 있다. Then, based on the data list shown in FIG. 5, the first column is set to the second level (Lv2) of the tree structure, the second column is set to the third level (Lv3) of the tree structure to be the fifth level (Lv5) Level node in the same row of FIG. 5 to point to the lower-level node, thereby creating the tree structure shown in FIG. At this time, the root node of the tree structure can aggregate the nodes of the second level (Lv2) into a single tree structure, so that the tree structure of each tree structure can be managed as one tree structure without generating each tree structure for various kinds of cyber attacks.

이에 따라, 공격 탐지부(120)는 리프 노드부터 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트가 순서대로 발생하는 경우, 로그 분석부(110)가 탐지한 이벤트가 트리 구조의 어느 레벨까지 일치하느냐를 기준으로 사이버 공격의 가능성을 예측할 수 있다. Accordingly, when the event mapped to each node connected from the leaf node to the root node occurs in order, the attack detection unit 120 detects the level of the event detected by the log analysis unit 110 to the level of the tree structure The possibility of cyber attack can be predicted.

도 6은 scanning의 목적을 가진 사이버 공격이 발생한 경우 본 발명의 일 실시예에 따른 트리 노드를 설명하기 위한 예시도이다. FIG. 6 is an exemplary diagram for explaining a tree node according to an embodiment of the present invention when a cyber attack with the purpose of scanning is generated.

도 6을 참조하면, 로그 분석부(110)가 특정 단말(201)에 network mapping 이벤트가 발생한 것을 탐지하면 공격 탐지부(120)는 network mapping 이벤트가 트리 구조의 노드에 매핑되어 있는지를 판별하고, 이후 scanning 이벤트가 발생하면 사이버 공격이 발생하였다고 판별할 수 있다. Referring to FIG. 6, when the log analyzer 110 detects that a network mapping event has occurred in a specific terminal 201, the attack detection unit 120 determines whether a network mapping event is mapped to a node in the tree structure, If a scanning event occurs later, it can be determined that a cyber attack has occurred.

도 7은 maintain access 목적을 가진 사이버 공격이 발생한 경우 본 발명의 일 실시예에 따른 트리 노드를 설명하기 위한 예시도이다. 7 is an exemplary diagram for explaining a tree node according to an embodiment of the present invention when a cyber attack with maintain access purpose occurs.

도 7을 참조하면, 로그 분석부(110)가 특정 단말(201)에 backdoor 이벤트가 발생한 것을 탐지하면 공격 탐지부(120)는 backdoor 이벤트가 트리 구조의 노드에 매핑되어 있는지를 판별하고, 이후 maintain access 이벤트가 발생하면 사이버 공격이 발생하였다고 판별할 수 있다. Referring to FIG. 7, when the log analyzer 110 detects that a backdoor event has occurred in a specific terminal 201, the attack detector 120 determines whether a backdoor event is mapped to a node in the tree structure, If an access event occurs, it can be determined that a cyber attack has occurred.

다만, 도 4 내지 도 7에 도시된 사이버 공격의 목적, 사이버 공격의 종류, 사이버 공격이 진행될 때 발생하는 이벤트, 트리 구조의 레벨의 개수 등은 예시일 뿐 이에 한정되지 않는다.However, the purpose of the cyber attack shown in FIGS. 4 to 7, the kind of the cyber attack, the event that occurs when the cyber attack proceeds, and the number of levels of the tree structure are not limitative.

한편, 도 6 및 도 7과 같이 사이버 공격을 위해 진행되는 이벤트가 모두 완료되기 전에 이와 같은 이벤트가 일어나지 않도록 방지하는 대응이 필요하다. Meanwhile, as shown in FIG. 6 and FIG. 7, a countermeasure is required to prevent such an event from occurring before all events for cyber attack are completed.

이를 위해, 공격 탐지부(120)는 로그 분석부(110)가 탐지한 이벤트가 트리 구조의 각 노드에 매핑된 이벤트 중에 존재하는 것으로 판별하면, 해당 이벤트가 매핑된 노드가 식별되도록 시각화된 트리 구조를 단말(200)에 전송할 수 있다. 예를 들어, 해당 이벤트가 매핑된 노드의 색깔을 다르게 하여 이벤트가 발생한 단말(200)에 전송할 수 있다. 따라서 시각화된 트리 구조를 전송 받은 단말(200)의 사용자는 트리 구조를 참조하여 공격에 효과적으로 대처할 수 있다. For this, when the attack detection unit 120 determines that the event detected by the log analysis unit 110 is present in the event mapped to each node of the tree structure, the attack detection unit 120 detects a tree structure To the terminal 200. For example, the color of the node to which the event is mapped may be different, and the event may be transmitted to the terminal 200 where the event occurs. Therefore, the user of the terminal 200 receiving the visualized tree structure can effectively cope with the attack by referring to the tree structure.

또한 공격 대응부(130)는 트리 구조의 리프 노드부터 트리 구조의 루트 노드를 향해 연결된 순서대로 각 노드에 매핑된 이벤트가 트리 구조의 특정 레벨까지 발생하는 경우 사이버 공격에 대응하기 위한 대응 동작을 수행할 수 있다. The attack responding unit 130 performs a corresponding action to cope with the cyber attack when the events mapped to the respective nodes in the order from the leaf node of the tree structure to the root node of the tree structure occur to a specific level of the tree structure can do.

예를 들어, 공격 대응부(130)는 로그 분석부(110)가 탐지한 이벤트가 트리 구조의 리프 노드로부터 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 트리 구조의 세번째 레벨까지 발생한 것으로 공격 탐지부(120)가 판별한 경우, 단말(200)에 두번째 레벨의 노드에 매핑된 목적의 사이버 공격이 진행되고 있음을 통보할 수 있다. For example, the attack responding unit 130 may be configured such that the event detected by the log analyzing unit 110 occurs to the third level of the tree structure in the order of events mapped to each node connected from the leaf node of the tree structure toward the root node When the attack detection unit 120 determines that the target cyber attack mapped to the second level node is notified to the terminal 200,

또한 공격 대응부(130)는 로그 분석부(110)가 탐지한 이벤트가 트리 구조의 리프 노드로부터 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 트리 구조의 두번째 레벨까지 발생한 것으로 공격 탐지부(120)가 판별한 경우, 단말(200)의 네트워크 연결을 차단할 수 있다. In addition, the attack counter 130 generates the events detected by the log analyzer 110 to the second level of the tree structure in the order of events mapped to the nodes connected from the leaf node of the tree structure toward the root node, The terminal 200 can be disconnected from the network.

한편, 트리 구조의 각 노드에는 각 노드에 매핑된 이벤트가 발생한 것으로 판별될 경우의 공격 대응부(130)가 취해야 할 대응 동작이 추가적으로 매핑되어 있을 수 있다. 이에 따라, 공격 대응부(130)는 단말(200)에서 이벤트가 리프 노드로부터 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 발생하는 경우 트리 노드의 각 노드에 매핑되어 있는 대응 동작을 수행할 수 있다. Meanwhile, each node of the tree structure may be additionally mapped with a corresponding action to be taken by the attack counter 130 when it is determined that an event mapped to each node has occurred. Accordingly, when the event occurs in the order of the event mapped to each node connected from the leaf node to the root node in the terminal 200, the attack counter 130 performs a corresponding operation mapped to each node of the tree node can do.

예를 들어, 단말(200)의 포트가 추가적으로 열리는 이벤트가 매핑된 특정 노드에는 단말(200)의 포트를 닫는 대응 동작이 함께 매핑되어 있을 수 있고, 이에 따라 공격 대응부(130)는 트리 구조를 참조하여 해당 노드에 매핑된 이벤트가 발생한 경우 포트가 열린 단말(200)의 포트를 닫는 동작을 수행할 수 있다. 이와 같이, 공격 대응부(130)는 트리 구조에 매핑된 대응 동작을 통해 각각의 이벤트에 효율적으로 대처할 수 있는 대응 동작을 수행할 수 있다. For example, a specific node to which an event of which the port of the terminal 200 is additionally opened may be mapped together with a corresponding operation of closing the port of the terminal 200, and accordingly, the attack responding unit 130 obtains a tree structure And closes the port of the terminal 200 in which the port is opened when an event mapped to the corresponding node occurs. In this manner, the attack responding unit 130 can perform a corresponding operation that can efficiently cope with each event through a corresponding operation mapped to the tree structure.

상술한 실시예에 따르면, 네트워크에 연결된 단말(200)에서 발생하는 로그를 기초로 사이버 공격의 가능성을 탐지하여 미리 대처할 수 있다. According to the above-described embodiment, the possibility of a cyber attack can be detected and coped with based on the log generated in the terminal 200 connected to the network.

특히, 사이버 공격이 특정 목표를 달성하기 위해 단말(200)에 발생시키는 이벤트들의 순서가 매핑되어 있는 트리 구조를 통해, 단말(200)에서 발생하고 있는 비정형적인 동작들이 사이버 공격이 진행될 때 발생하는 이벤트의 순서와 일치하는지 판별하여, 각 이벤트 발생에 따른 적절한 대응 동작을 수행하여 사이버 공격이 완료되기 전에 효과적으로 대처할 수 있다. Particularly, through the tree structure in which the order of the events generated by the cyber attack to the terminal 200 in order to achieve the specific target is mapped, the atypical operations occurring in the terminal 200 are classified into the event It is possible to appropriately cope with the occurrence of each event before the cyber attack is completed.

또한 사이버 공격이 진행될 때 발생하는 일련의 이벤트의 진행 과정이 표시된 트리 구조를 단말에 제공하여 단말(200)의 사용자가 사이버 공격의 진행 과정을 확인하여 스스로 대처할 수 있게 한다. In addition, a tree structure showing the progress of a series of events occurring when a cyber attack occurs is provided to the terminal so that the user of the terminal 200 can confirm the progress of the cyberattack and cope with itself.

한편 상술한 실시예가 포함하는 로그 분석부(110), 공격 탐지부(120) 및 공격 대응부(130)는 이들의 기능을 수행하도록 프로그램된 명령어를 포함하는 메모리, 및 이들 명령어를 수행하는 마이크로프로세서를 포함하는 연산 장치에 의해 구현될 수 있다. Meanwhile, the log analysis unit 110, the attack detection unit 120, and the attack responding unit 130, which are included in the above-described embodiments, include a memory including instructions programmed to perform these functions, and a microprocessor And the like.

도 8은 본 발명의 일 실시예에 따른 로그 분석을 이용한 공격 탐지 방법의 단계를 도시하는 흐름도이다. 도 8에 따른 따른 로그 분석을 이용한 공격 탐지 방법의 각 단계는 도 2 및 도 3을 통해 설명된 따른 로그 분석을 이용한 공격 탐지 장치(100)에 의해 수행될 수 있으며, 각 단계를 설명하면 다음과 같다.FIG. 8 is a flowchart illustrating steps of an attack detection method using log analysis according to an embodiment of the present invention. Each step of the attack detection method using the log analysis according to FIG. 8 can be performed by the attack detection apparatus 100 using the log analysis described with reference to FIG. 2 and FIG. 3, same.

우선, 로그 분석부(110)는 단말(200)의 로그를 기초로 소정의 이벤트의 발생 여부를 탐지한다(S810). 이후, 공격 탐지부(120)는 사이버 공격이 진행될 때 발생하는 일련의 이벤트의 각각의 리프 노드로부터 루트 노드를 향해 연결된 각 노드에 순서대로 매핑된 트리 구조를 기초로 소정의 이벤트가 각 노드에 매핑된 이벤트 중에 존재하는지 판별한다. 이에 따라, 공격 대응부(130)는 소정의 이벤트가 리프 노드로부터 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 트리 구조의 기 지정된 레벨까지 발생한 것으로 판별된 경우, 사이버 공격에 대응하기 위한 대응 동작을 수행한다(S830). First, the log analysis unit 110 detects whether a predetermined event has occurred based on the log of the terminal 200 (S810). Thereafter, the attack detection unit 120 maps a predetermined event to each node based on the tree structure sequentially mapped to each node connected to the root node from each leaf node of a series of events occurring when the cyber attack proceeds Whether or not the event exists during the event. Accordingly, when it is determined that a predetermined event has occurred up to a predetermined level in the tree structure in the order of events mapped to each node connected from the leaf node toward the root node, the attack counter 130 generates a response A corresponding operation is performed (S830).

한편, 상술한 각 단계의 주체인 구성 요소들이 해당 단계를 실시하기 위한 과정은 도 2 및 도 3과 함께 설명하였으므로 중복된 설명은 생략한다. Meanwhile, the process of performing the corresponding steps of the constituent elements of each of the above-described steps has been described with reference to FIG. 2 and FIG. 3, and a duplicate description will be omitted.

상술한 본 발명의 실시예들은 다양한 수단을 통해 구현될 수 있다. 예를 들어, 본 발명의 실시예들은 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다.The above-described embodiments of the present invention can be implemented by various means. For example, embodiments of the present invention may be implemented by hardware, firmware, software, or a combination thereof.

하드웨어에 의한 구현의 경우, 본 발명의 실시예들에 따른 방법은 하나 또는 그 이상의 ASICs(Application Specific Integrated Circuits), DSPs(Digital Signal Processors), DSPDs(Digital Signal Processing Devices), PLDs(Programmable Logic Devices), FPGAs(Field Programmable Gate Arrays), 프로세서, 컨트롤러, 마이크로 컨트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.In the case of hardware implementation, the method according to embodiments of the present invention may be implemented in one or more Application Specific Integrated Circuits (ASICs), Digital Signal Processors (DSPs), Digital Signal Processing Devices (DSPDs), Programmable Logic Devices (PLDs) , FPGAs (Field Programmable Gate Arrays), processors, controllers, microcontrollers, microprocessors, and the like.

펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 실시예들에 따른 방법은 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차 또는 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드 등이 기록된 컴퓨터 프로그램은 컴퓨터 판독 가능 기록 매체 또는 메모리 유닛에 저장되어 프로세서에 의해 구동될 수 있다. 메모리 유닛은 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 프로세서와 데이터를 주고 받을 수 있다.In the case of an implementation by firmware or software, the method according to embodiments of the present invention may be implemented in the form of a module, a procedure or a function for performing the functions or operations described above. A computer program recorded with a software code or the like may be stored in a computer-readable recording medium or a memory unit and may be driven by a processor. The memory unit is located inside or outside the processor, and can exchange data with the processor by various known means.

이와 같이, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.Thus, those skilled in the art will appreciate that the present invention may be embodied in other specific forms without departing from the spirit or essential characteristics thereof. It is therefore to be understood that the embodiments described above are to be considered in all respects only as illustrative and not restrictive. It is intended that the present invention covers the modifications and variations of this invention provided they come within the scope of the appended claims and their equivalents. .

100: 로그 분석을 이용한 공격 탐지 장치
110: 로그 분석부
120: 공격 탐지부
130: 공격 대응부
200: 단말100: Attack detection device using log analysis
110: log analysis unit
120: attack detection unit
130: Attack counterpart
200: terminal

Claims (9)

단말의 로그를 기초로 소정의 이벤트의 발생 여부를 탐지하는 로그 분석부;
사이버 공격이 진행될 때 발생하는 일련의 이벤트 각각이 리프 노드로부터 루트 노드를 향해 연결된 각 노드에 순서대로 매핑된 트리 구조를 기초로 상기 소정의 이벤트가 상기 각 노드에 매핑된 이벤트 중에 존재하는지 판별하는 공격 탐지부; 및
상기 소정의 이벤트가 어느 하나의 리프 노드로부터 상기 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 상기 트리 구조의 기 지정된 레벨까지 발생한 것으로 상기 공격 탐지부가 판별한 경우, 상기 사이버 공격에 대응하기 위한 대응 동작을 수행하는 공격 대응부를 포함하는
로그 분석을 이용한 공격 탐지 장치.A log analyzer for detecting occurrence of a predetermined event based on a log of the terminal;
An attack that determines whether the predetermined event is present in an event mapped to each node based on a tree structure in which a series of events occurring when a cyber attack occurs is sequentially mapped to each node connected from a leaf node to a root node Detection unit; And
If the attack detecting unit determines that the predetermined event has occurred up to a predetermined level of the tree structure in the order of events mapped to each node connected from one leaf node toward the root node, And an attack counterpart for performing a corresponding action for
Attack Detection System Using Log Analysis. 제1항에 있어서,
상기 로그 분석부는,
상기 사이버 공격이 진행되지 않은 경우에 상기 단말에서 발생한 로그와 상기 단말에서 실시간으로 발생하는 로그를 비교하여 상기 소정의 이벤트의 발생 여부를 탐지하는
로그 분석을 이용한 공격 탐지 장치.The method according to claim 1,
Wherein the log analyzer comprises:
If the cyber attack does not proceed, a log generated in the terminal and a log generated in real time in the terminal are compared to detect occurrence of the predetermined event
Attack Detection System Using Log Analysis. 제1항에 있어서,
상기 트리 구조의 두번째 레벨의 노드에는 상기 사이버 공격의 목적이 매핑되어 있고, 상기 리프 노드로부터 상기 두번째 레벨의 노드를 향해 연결된 각 노드에는 상기 두번째 레벨의 노드에 매핑된 목적의 사이버 공격이 진행될 때 발생하는 일련의 이벤트의 각각이 순서대로 매핑되어 있고, 상기 루트 노드는 상기 두번째 레벨의 노드를 결집시키는
로그 분석을 이용한 공격 탐지 장치.The method according to claim 1,
Level node of the tree structure is mapped to the purpose of the cyber attack, and each node connected from the leaf node to the second-level node is generated when a target cyberattack mapped to the second- Each of the events being mapped in order, and the root node aggregating the second level nodes
Attack Detection System Using Log Analysis. 제3항에 있어서,
상기 공격 대응부는,
상기 소정의 이벤트가 상기 어느 하나의 리프 노드로부터 상기 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 상기 트리 구조의 세번째 레벨까지 발생한 것으로 상기 공격 탐지부가 판별한 경우, 상기 단말에 상기 어느 하나의 리프 노드로부터 상기 루트 노드를 향해 연결된 각 노드 중 두번째 레벨의 노드에 매핑된 목적의 사이버 공격이 진행되고 있음을 통보하는
로그 분석을 이용한 공격 탐지 장치.The method of claim 3,
Wherein:
When the attack detecting unit determines that the predetermined event has occurred up to the third level of the tree structure in the order of events mapped to each node connected from the one leaf node toward the root node, Notifying that a target cyber attack mapped to a second-level node among the nodes connected to the root node from the leaf node of the root node is proceeding
Attack Detection System Using Log Analysis. 제3항에 있어서,
상기 공격 대응부는,
상기 소정의 이벤트가 상기 어느 하나의 리프 노드로부터 상기 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 상기 트리 구조의 두번째 레벨까지 발생한 것으로 상기 공격 탐지부가 판별한 경우, 상기 단말의 네트워크 연결을 차단하는
로그 분석을 이용한 공격 탐지 장치.The method of claim 3,
Wherein:
When the attack detecting unit determines that the predetermined event has occurred up to the second level of the tree structure in the order of events mapped to each node connected from the one leaf node toward the root node, Blocking
Attack Detection System Using Log Analysis. 제1항에 있어서,
상기 각 노드에는 상기 각 노드에 매핑된 이벤트가 발생한 것으로 판별될 경우의 대응 동작이 추가적으로 매핑되어 있고,
상기 공격 대응부는,
상기 소정의 이벤트가 상기 리프 노드로부터 상기 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 발생하는 경우 상기 각 노드에 매핑된 대응 동작을 수행하는
로그 분석을 이용한 공격 탐지 장치.The method according to claim 1,
Wherein each node is further mapped with a corresponding action when it is determined that an event mapped to each node has occurred,
Wherein:
When the predetermined event occurs in the order of events mapped to each node connected from the leaf node toward the root node, a corresponding operation mapped to each node is performed
Attack Detection System Using Log Analysis. 제1항에 있어서,
상기 공격 탐지부는,
상기 소정의 이벤트가 상기 로그 분석부에 의해 탐지되고 상기 각 노드에 매핑된 이벤트 중에 존재하는 것으로 판별하면, 상기 소정의 이벤트가 매핑된 노드가 식별되도록 시각화된 상기 트리 구조를 상기 단말에 전송하는
로그 분석을 이용한 공격 탐지 장치.The method according to claim 1,
The attack detection unit detects,
If the predetermined event is detected by the log analyzing unit and is found to be present in an event mapped to each node, the tree structure that is visualized so that the node to which the predetermined event is mapped is transmitted to the terminal
Attack Detection System Using Log Analysis. 하나 이상의 프로세서에 의해 수행되는 로그 분석을 이용한 공격 탐지 방법에 있어서,
단말의 로그를 기초로 소정의 이벤트의 발생 여부를 탐지하는 단계;
사이버 공격이 진행될 때 발생하는 일련의 이벤트의 각각의 리프 노드로부터 루트 노드를 향해 연결된 각 노드에 순서대로 매핑된 트리 구조를 기초로 상기 소정의 이벤트가 상기 각 노드에 매핑된 이벤트 중에 존재하는지 판별하는 단계; 및
상기 소정의 이벤트가 상기 리프 노드로부터 상기 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 상기 트리 구조의 기 지정된 레벨까지 발생한 것으로 판별된 경우, 상기 사이버 공격에 대응하기 위한 대응 동작을 수행하는 단계를 포함하는
로그 분석을 이용한 공격 탐지 방법.An attack detection method using log analysis performed by one or more processors,
Detecting whether a predetermined event has occurred based on the log of the terminal;
A determination is made as to whether the predetermined event is present in an event mapped to each node based on a tree structure mapped sequentially to each node connected to the root node from each leaf node of a series of events occurring when a cyber attack occurs step; And
When the predetermined event is determined to have occurred in a sequence of events mapped to each node connected from the leaf node toward the root node to a pre-specified level of the tree structure, a corresponding operation for responding to the cyber attack is performed Step
Attack Detection Method Using Log Analysis. 단말의 로그를 기초로 소정의 이벤트의 발생 여부를 탐지하는 단계;
사이버 공격이 진행될 때 발생하는 일련의 이벤트의 각각의 리프 노드로부터 루트 노드를 향해 연결된 각 노드에 순서대로 매핑된 트리 구조를 기초로 상기 소정의 이벤트가 상기 각 노드에 매핑된 이벤트 중에 존재하는지 판별하는 단계; 및
상기 소정의 이벤트가 상기 리프 노드로부터 상기 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 상기 트리 구조의 기 지정된 레벨까지 발생한 것으로 판별된 경우, 상기 사이버 공격에 대응하기 위한 대응 동작을 수행하는 단계
를 프로세서로 하여금 수행하게 하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독 가능 기록매체. Detecting whether a predetermined event has occurred based on the log of the terminal;
A determination is made as to whether the predetermined event is present in an event mapped to each node based on a tree structure mapped sequentially to each node connected to the root node from each leaf node of a series of events occurring when a cyber attack occurs step; And
When the predetermined event is determined to have occurred in a sequence of events mapped to each node connected from the leaf node toward the root node to a pre-specified level of the tree structure, a corresponding operation for responding to the cyber attack is performed step
And causing the processor to execute the program.
KR1020170105578A 2017-08-21 2017-08-21 Apparatus and method for detecting attack by using log analysis KR102022626B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170105578A KR102022626B1 (en) 2017-08-21 2017-08-21 Apparatus and method for detecting attack by using log analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170105578A KR102022626B1 (en) 2017-08-21 2017-08-21 Apparatus and method for detecting attack by using log analysis

Publications (2)

Publication Number Publication Date
KR20190020523A true KR20190020523A (en) 2019-03-04
KR102022626B1 KR102022626B1 (en) 2019-09-19

Family

ID=65759884

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170105578A KR102022626B1 (en) 2017-08-21 2017-08-21 Apparatus and method for detecting attack by using log analysis

Country Status (1)

Country Link
KR (1) KR102022626B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110881051A (en) * 2019-12-24 2020-03-13 深信服科技股份有限公司 Security risk event processing method, device, equipment and storage medium
KR20220099081A (en) * 2021-01-05 2022-07-12 한국과학기술원 Design of interconnect architecture for secure disaggregated system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9369484B1 (en) * 2014-07-24 2016-06-14 Rockwell Collins, Inc. Dynamic security hardening of security critical functions
KR101648033B1 (en) * 2015-04-27 2016-08-16 한국과학기술원 Method for Detecting Intrusion Based on Attack Signature without Attack Pattern and Apparatus Therefor
KR20160146954A (en) 2014-06-27 2016-12-21 맥아피 인코퍼레이티드 System and method for the tracing and detection of malware

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160146954A (en) 2014-06-27 2016-12-21 맥아피 인코퍼레이티드 System and method for the tracing and detection of malware
US9369484B1 (en) * 2014-07-24 2016-06-14 Rockwell Collins, Inc. Dynamic security hardening of security critical functions
KR101648033B1 (en) * 2015-04-27 2016-08-16 한국과학기술원 Method for Detecting Intrusion Based on Attack Signature without Attack Pattern and Apparatus Therefor

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110881051A (en) * 2019-12-24 2020-03-13 深信服科技股份有限公司 Security risk event processing method, device, equipment and storage medium
CN110881051B (en) * 2019-12-24 2022-04-29 深信服科技股份有限公司 Security risk event processing method, device, equipment and storage medium
KR20220099081A (en) * 2021-01-05 2022-07-12 한국과학기술원 Design of interconnect architecture for secure disaggregated system

Also Published As

Publication number Publication date
KR102022626B1 (en) 2019-09-19

Similar Documents

Publication Publication Date Title
US10587647B1 (en) Technique for malware detection capability comparison of network security devices
US10230750B2 (en) Secure computing environment
US20180295154A1 (en) Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
US11882134B2 (en) Stateful rule generation for behavior based threat detection
CN111274583A (en) Big data computer network safety protection device and control method thereof
Zhou et al. Anomaly detection methods for IIoT networks
US10642986B2 (en) Detecting unknown software vulnerabilities and system compromises
US10547634B2 (en) Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system
EP3270317A1 (en) Dynamic security module server device and operating method thereof
US9946879B1 (en) Establishing risk profiles for software packages
US10339307B2 (en) Intrusion detection system in a device comprising a first operating system and a second operating system
US20170155683A1 (en) Remedial action for release of threat data
KR102267564B1 (en) Method for Actively Detecting Security Threat to Remote Terminal
WO2021046811A1 (en) Attack behavior determination method and apparatus, and computer storage medium
US11399036B2 (en) Systems and methods for correlating events to detect an information security incident
EP3767913A1 (en) Systems and methods for correlating events to detect an information security incident
CN116340943A (en) Application program protection method, device, equipment, storage medium and program product
KR102022626B1 (en) Apparatus and method for detecting attack by using log analysis
Iffländer et al. Hands off my database: Ransomware detection in databases through dynamic analysis of query sequences
Sharma et al. Detecting data exfiltration by integrating information across layers
Hessam et al. A new approach for detecting violation of data plane integrity in Software Defined Networks
Ponomarev Intrusion Detection System of industrial control networks using network telemetry
CN113328976B (en) Security threat event identification method, device and equipment
CN114095227A (en) Credible authentication method and system for data communication gateway and electronic equipment
KR102086375B1 (en) System and method for real time prevention and post recovery for malicious software

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right