KR20200131627A - 시나리오 기반 상관분석을 통한 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법 - Google Patents

시나리오 기반 상관분석을 통한 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법 Download PDF

Info

Publication number
KR20200131627A
KR20200131627A KR1020190056463A KR20190056463A KR20200131627A KR 20200131627 A KR20200131627 A KR 20200131627A KR 1020190056463 A KR1020190056463 A KR 1020190056463A KR 20190056463 A KR20190056463 A KR 20190056463A KR 20200131627 A KR20200131627 A KR 20200131627A
Authority
KR
South Korea
Prior art keywords
log
information
security information
logs
hacking detection
Prior art date
Application number
KR1020190056463A
Other languages
English (en)
Other versions
KR102199177B1 (ko
Inventor
신승민
Original Assignee
큐비트시큐리티 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 큐비트시큐리티 주식회사 filed Critical 큐비트시큐리티 주식회사
Priority to KR1020190056463A priority Critical patent/KR102199177B1/ko
Publication of KR20200131627A publication Critical patent/KR20200131627A/ko
Application granted granted Critical
Publication of KR102199177B1 publication Critical patent/KR102199177B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 해킹 탐지 기술에 관한 것으로, 보다 구체적으로 네트워크와 보안 장비 뿐 아니라 웹 로그 분석도 포함하여 해킹 절차 전반의 경로에서 발생 되는 로그를 시나리오 기반 상관분석을 통해 해킹 탐지 정확도를 높이는 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법 에 관한 것이다.

Description

시나리오 기반 상관분석을 통한 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법{SECURITY INFORMATION AND EVENT MANAGEMENT SYSTEM AND METHOD FOR DETECTING HACKING BY SCENARIO BASED CORRELATION ANALYSIS}
본 발명은 해킹 탐지 기술에 관한 것으로, 보다 구체적으로 네트워크와 보안 장비 뿐 아니라 웹 로그 분석도 포함하여 해킹 절차 전반의 경로에서 발생 되는 로그를 시나리오 기반 상관분석을 통해 해킹 탐지 정확도를 높이는 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법 에 관한 것이다.
최근 서버의 취약점을 이용한 공격은 제로데이 공격으로 진행되고 있으며, 해당 공격은 웹 애플리케이션의 취약점을 통하여 쉽고 빠르게 서버로 침투할 수 있는 방식이다.
SIEM「Security Information & Event Management」은 단순한 로그 수집과 분석이 아닌 핵심 로그만 리포팅(Reporting)해 줄 수 있는 상관분석 기능을 제공하여 지능적 위협에 대응할 수 있는 조기 경고 모니터링 체계이다.
하지만, 하루 수천 ~ 수억 개의 로그가 발생하는 상황에서 이상징후를 찾아내는 것은 매우 어려운 일이며, 네트워크와 보안 장비 로그 취합 중심의 상관분석으로는 웹을 통한 공격행위 탐지에는 한계가 있다.
최근 암호화폐 관련 서비스와 금전 이익을 노린 APT 공격과 결합한 진화된 랜섬웨어 공격의 감염 경로를 조사한 결과, 인터넷을 통해 들어오는 비율이 66%로 가장 비중이 높았으며 이메일 25%, P2P 9% 순으로 나타났다. 또한, 인터넷은 APT 공격 주요 경유지로 이용되고 있는 상황이다.
해킹 사고 중 80% 차지하는 웹 공격 보안이 중요하지만, 웹의 로그를 분석하여 해킹에 대응하는 SIEM 솔루션이 없는 실정이다.
본 발명에 대한 선행기술문헌으로는 특허등록10-1417671 호(2014.07.02)가 있다.
본 발명은 IT 인프라(Infrastructure) 전체를 구성하는 네트워크 보안 장비, 시스템 로그와 웹 로그를 수집하여, 해킹 절차 전반의 경로에서 발생 되는 로그를 다양한 관점에서의 상관분석(시나리오 기반)을 통해 지능형 지속 공격(APT: Advanced Persistent Threat)과 랜섬웨어(Ransomware) 공격 등의 이상징후를 더욱 정확하게 찾아내는 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법을 제공하는 것이다.
본 발명의 일 측면에 따르면, 해킹 탐지 보안 정보 이벤트 운영 시스템이 제공된다.
본 발명의 일 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영 시스템은 웹 서버 및 웹 서버 운영 체제 중 적어도 하나에서 로그를 수집하기 위한 설정을 수행하는 로그 설정부, 상기 설정에 따라 수집된 상기 로그를 포함하는 로그 정보를 생성하는 로그 취합부, 상기 로그 정보와 연동한 시나리오 개발하여 서버 별 로그들의 정상 패턴에 대한 모델링 정보를 지속해서 업데이트하는 모델 선정부 및 상기 시나리오에 기반하여 상기 로그 정보에 대한 시나리오 상관분석을 수행하는 로그 분석부를 포함할 수 있다.
일 실시 예에 따르면, 로그 설정부는 포스트-바디, 리스폰스-바디로 전달되는 데이터를 포함하는 로그를 수집하고, 프로그램 동작 위치, 프로그램 실행 정보, 프로그램 실행 대상 형태 및 프로그램 실행 주체, 프로그램 전체 경로 및 프로그램 정보 중 하나 이상을 포함하는 로그를 수집하도록 하는 설정을 수행할 수 있다.
일 실시 예에 따르면, 모델 선정부는 시스템 레벨 애플리케이션 이상징후 탐지 시나리오인 경우, 로그인 후 profile을 수정하여 로그 생성을 회피하는 작업, ·로그인 후 bash_history를 검색하여 mysql 서버의 root 패스워드를 반복적으로 수행하는 작업, 로그인 후 mysql dump 파일을 외부로 전송을 수행하는 작업, redis 데이터를 dump 파일로 저장하고 외부로 전송을 수행하는 작업, 여러 서버에서 동시적 또는 시간차를 두고 호스트 파일을 변경하는 행위를 포함할 수 있다.
일 실시 예에 따르면, 모델 선정부는 랜섬웨어 탐지 시나리오인 경우 실제 사용자의 파일을 변조하는 상황을 관리 로그와 보안 로그 조합 및 발생, 패턴 등을 분석하여 탐지할 수 있다.
본 발명의 다른 일 측면에 따르면, 해킹 탐지 보안 정보 이벤트 운영 방법이 제공된다.
본 발명의 일 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영 방법은 로그를 수집하기 위한 설정을 수행하는 단계, 상기 설정에 따라 수집된 상기 로그를 포함하는 로그 정보를 생성하는 단계, 상기 로그 정보를 상기 클라우드 서버로 전송하는 단계, 상기 로그 정보와 연동한 시나리오 개발하여 서버 별 로그들의 정상 패턴에 대한 모델링 정보를 지속해서 업데이트하는 단계 및 상기 시나리오에 기반하여 상기 로그 정보에 대한 시나리오 상관분석을 수행하는 단계를 포함할 수 있다.
일 실시 예에 따르면, 해킹 탐지 보안 정보 이벤트 운영부에서 로그를 수집하기 위한 설정을 수행하는 단계는 포스트-바디, 리스폰스-바디로 전달되는 데이터를 포함하는 로그를 수집하고, 프로그램 동작 위치, 프로그램 실행 정보, 프로그램 실행 대상 형태 및 프로그램 실행 주체, 프로그램 전체 경로 및 프로그램 정보 중 하나 이상을 포함하는 로그를 수집하도록 하는 설정을 수행할 수 있다.
일 실시 예에 따르면, 관리 로그의 경우 시스템 및 네트워크 로그를 관리적 측면에서 모니터링하는 단계 및 보안 로그의 경우 공격 유형을 구분하여 관리하고 모니터링하는 단계를 더 포함할 수 있다.
일 실시 예에 따르면, 공격이 탐지된 경우, 로그 정보에 대응하는 소스 IP 주소를 포함하는 탐지 정보를 생성하는 단계를 더 포함할 수 있다.
본 발명의 일 실시 예에 따르면, AI 기반 빅데이터 분석 플랫폼이 자동 분석한 정보를 기반으로 실제 해킹을 걸러내고 대응, 분석가 등 전문가들의 심층 분석을 거쳐 확인된 결정적인 증거로 대응이 가능하며 보안 담당자는 더욱 중요한 이벤트의 상세 분석 등에 시간을 집중 투자할 수 있다. 또한, 네트워크 트래픽 외 시스템 정보 등 다양한 로그를 포함하는 위협 탐지 시나리오를 바탕으로 더욱 폭넓은 분석을 진행할 수 있다.
본 발명의 일 실시 예에 따르면, 핀테크, 빅데이터 등 새로운 금융과 IT융합 시장이 커짐에 따라 금융 보안의 패러다임이 변화하고 있는 상황으로 국내 보안 규제 완화 및 간편 결제 확대 등 이용자의 편의성 위주로 결제 금융환경이 변화하면서 이용자 보안강화 위주에 대한 대안으로 이상 금융거래 탐지 시스템(FDS : Fraud Detection System) 중요성이 더 커지는 상황이며 간편 결제에 따른 약화된 보안 수준을 높이기 위해 Back-End 블록에서 종합적으로 분석하고 탐지할 수 있다.
도 1은 본 발명의 일 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영 시스템을 설명하기 위한 도면.
도 2 및 도 3은 본 발명의 일 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영 시스템의 해킹 탐지 보안 정보 이벤트 운영부를 설명하기 위한 도면들.
도 4내지 도 7은 본 발명의 일 실시 예에 따른 실시간 웹 해킹 탐지를 위한 해킹 탐지 보안 정보 이벤트 운영 방법을 설명하기 위한 도면들.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시 예를 상세히 설명하도록 한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 또한, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.
도 1은 본 발명의 일 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영 시스템을 설명하기 위한 도면이다.
도 1을 참조하면, 본 발명의 제1 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영 시스템은 웹 서버(100), 클라우드 서버(200) 및 해킹 탐지 보안 정보 이벤트 운영부(300)를 포함한다.
웹 서버(100)는 웹 서버 및 웹 서버의 운영 체제 중 적어도 하나에서 수집한 로그 생성을 위한 로그 설정을 수행하고, 로그 설정에 따라 로그를 생성 및 취합하여 로그 정보를 생성한다.
웹 서버(100)는 생성한 로그 정보를 클라우드 서버(200)로 전송한다.
해킹 탐지 보안 정보 이벤트 운영부(300)는 클라우드 서버(200)에 웹 해킹 탐지 정보를 수신하거나 자동으로 해당 정보를 가져오는 방식으로 정보를 취득하여, 웹 해킹 탐지 정보에 포함된 로그의 소스 IP 주소를 차단 리스트에 추가한다. 해킹 탐지 보안 정보 이벤트 운영부(300)를 통하여 웹 서버(100) 또는 웹 서버 운영체제는 차단 리스트에 포함된 각 소스 IP 주소로부터의 접속을 차단한다.
도 2 및 도 3은 본 발명의 일 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영 시스템의 해킹 탐지 보안 정보 이벤트 운영부를 설명하기 위한 도면이다.
도 2를 참조하면, 본 발명의 일 실시 예에 따른 해킹 탐지 보안 정보 이벤트 운영부(300)는 클라우드 상에서 빅데이터 처리와 머신러닝 기술 적용을 위한 아키텍처를 가진다.
해킹 탐지 보안 정보 이벤트 운영부(300)는 공격 유형 분석 정보를 머신러닝의 지속적인 학습을 통하여 최종 결과에 대한 검증과 공격 IP 주소를 자동으로 차단한다.
해킹 탐지 보안 정보 이벤트 운영부(300)는 에이전트 업로드 서버에 등재되는 모든 로그 스트림은 빅데이터 처리를 위해서 분산 스트리밍 플랫폼인 카프카(Kafka)로 전수 전달한다.
해킹 탐지 보안 정보 이벤트 운영부(300)는 비동기 실시간 분석을 위한 Speed Layer와 배치 분석을 위한 Batch Layer로 전달하기 위한 백본 역할을 수행한다.
해킹 탐지 보안 정보 이벤트 운영부(300)는 전달되는 로그 스트림의 데이터양의 증가에 따른 검증된 스케일 아웃 구조로 되어 있고, 로드 밸런싱 및 자동 스케일 기능을 지원할 수 있다.
해킹 탐지 보안 정보 이벤트 운영부(300)는 Batch Layer에서 생성되는 학습된 모델 정보들을 다른 Layer로 실시간으로 전달하고, Speed Layer에서 실시간으로 업데이트되는 모델 정보를 서빙한다.
해킹 탐지 보안 정보 이벤트 운영부(300)는 Layer에 전달하면서 무결성 및 결함 감내 기능을 지원하고, 검증된 오픈 소스를 활용하고 최적화하는 기술을 개발하고 이를 기반으로 끊임없는 기계학습 데이터 처리가 가능하다.
해킹 탐지 보안 정보 이벤트 운영부(300)는 공격이 감지된 경우, 분석 대상인 로그 정보의 소스 아이피(source IP) 주소를 포함하는 탐지 정보를 생성한다.
도 3을 참조하면, 해킹 탐지 보안 정보 이벤트 운영부(300)는 로그 설정부(320), 로그 취합부(340), 모델 선정부(360) 및 로그 분석부(380)를 포함한다.
해킹 탐지 보안 정보 이벤트 운영부(300)는 로그 설정부(320), 로그 취합부(340), 모델 선정부(360) 및 로그 분석부(380)는 운영 체제 상에서 그 동작을 수행할 수 있다.
로그 설정부(320)는 로그 생성을 위한 설정을 수행한다. 예를 들어, 일반적인 윈도우나 리눅스에서는 프로그램의 실행을 통한 서버의 패스워드와 같은 보안 원칙에 따라 미리 설정된 민감한 데이터의 유출, 특정 실행 프로그램으로의 인젝션을 통한 메모리 해킹, 호스트(hosts) 파일 수정을 통한 피싱이나 파밍 공격, 외부로의 원격 접속으로 해커가 서버 내부로 접속할 수 있는 리버스 커넥션 연결과 같은 악의적인 행위에 대한 로그를 기록하도록 설정되어 있지 않다. 로그 설정부(320)는 윈도우의 경우, 고급 보안 감사 정책에서 개체 액세스 추적 감사와 프로세스 추적 감사를 활성화 시키도록 로그 설정을 수행한다. 로그 설정부(320)는 포스트-바디와 리스폰스-바디로 전달되는 데이터를 포함하는 모든 HTTP/HTTPS 프로토콜을 통해 전달되는 데이터를 로그로 수집하도록 로그 설정을 수행한다. 여기서, 웹 서버(100)가 사용하는 HTTP/HTTPS 프로토콜의 메서드(Method)는 GET, PUT 또는 POST와 같은 동사형 메서드, HEAD 또는 OPTIONS과 같은 명사형 메서드가 있다. 예를 들어, GET은 하나의 리소스를 불러오는 메서드이고, POST는 데이터가 서버로 들어가야 함(리소스가 생성 혹은 수정되거나, 회신되어야 하는 임시 문서를 만드는 동작 등)을 의미하는 메서드이다. 로그 설정부(320)는 웹 해킹 공격 탐지 능력을 높이기 위하여 포스트-바디와 리스폰스-바디 내용을 로그로 남기도록 설정한다.
로그 취합부(340)는 로그 설정에 따라 생성되는 로그를 취합하여 로그 정보를 생성한다. 로그 취합부(340)는 로그 정보를 로그 분석부(380)로 전송한다.
로그 취합부(340)는 로그 설정부(320)의 프로토콜 설정에 따라 HTTP(80) 일 경우는 일반 평문 분석을 지원하며, HTTPS(443) 일 경우는 웹 서버의 인증서와 개인키를 이용하여 암호문을 평문으로 변환하여 로그를 저장할 수 있다.
모델 선정부(360)는 웹 로그(OWASP)와 시스템 레벨 애플리케이션(MySQL, Redis, Postfix, Bind, HAProxy, OpenVPN, Linux command) 로그들과 연동하여 탐지 규칙 시나리오를 생성한다.
모델 선정부(360)는 시나리오 생성 및 관리시스템 개발하되, 5W1H(누가, 언제, 어디서, 무엇을, 어떻게, 왜) 관점에서 위협 주체와 방법 및 수단을 기준으로 발생 가능한 위협행위를 관리 로그와 보안 로그 조합을 통해 시나리오를 정의한다.
모델 선정부(360)는 정의된 시나리오에 대해 시나리오 명, 분류, 위험 등급 등 기본 정보와 구현하고, 조건을 반영하는 탐지 설정 화면을 제공하여 시나리오 관리 서비스를 제공할 수 있다.
모델 선정부(360)는 다양한 애플리케이션과 연동한 시나리오 개발하여 서버 별 로그들의 정상 패턴에 대한 모델링 정보를 지속해서 업데이트하여 자동화된 이상 탐지 수행이 가능하다.
모델 선정부(360)는 예를 들면, 시스템 레벨 애플리케이션 이상징후 탐지 시나리오로 로그인 후 profile을 수정하여 로그 생성을 회피하는 작업, ·로그인 후 bash_history를 검색하여 mysql 서버의 root 패스워드를 반복적으로 수행하는 작업, 로그인 후 mysql dump 파일을 외부로 전송을 수행하는 작업, redis 데이터를 dump 파일로 저장하고 외부로 전송을 수행하는 작업, 여러 서버에서 동시적 또는 시간차를 두고 호스트 파일을 변경하는 행위를 선정할 수 있다.
모델 선정부(360)는 예를 들면, 랜섬웨어 탐지 시나리오로 실제 사용자의 파일을 변조하는 상황(확장자 변환, 랜섬노트 발생, C&C서버 연결 등)을 관리 로그와 보안 로그 조합 및 발생, 패턴 등을 분석하여 탐지를 설정할 수 있다.
로그 분석부(380)는 시나리오 기반 상관분석 해킹 탐지 시스템 개발을 위해 클라우드 상에서 수집되는 방대한 로그를 관리 로그와 보안 로그로 구분하여 시나리오 상관분석을 수행한다.
로그 분석부(380)는 웹 로그(OWASP)와 시스템 레벨 애플리케이션(MySQL, Redis, Postfix, Bind, HAProxy, OpenVPN, Linux command) 로그들과 연동하여 생성된 탐지 규칙(시나리오)에 의해 로그를 분석한다.
로그 분석부(380)는 시스템 레벨 어플리케이션 로깅 지원을 통하여 랜섬웨어 및 데이터베이스 접근 이상징후 탐지 정확도를 향상시킬 수 있다.
로그 분석부(380)는 웹 로그 분석을 통한 머신러닝 해킹 탐지 로직이 적용되어 Apache, Tomcat, IIS, WebLogic, WebToB 등 모든 웹 서버의 POST-BODY 로깅을 통해 머신러닝이 학습하는데 필요한 특징(Feature)을 추출하고, 이를 통해 이상징후를 판단할 수 있다.
도 4 내지 도 7은 본 발명의 일 실시 예에 따른 실시간 웹 해킹 탐지를 위한 해킹 탐지 보안 정보 이벤트 운영 방법을 설명하기 위한 도면들이다.
도 4를 참조하면, 단계 S410에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 로그 설정을 수행하고 로그를 수집한다. 해킹 탐지 보안 정보 이벤트 운영부(300)는 포스트-바디, 리스폰스-바디로 전달되는 데이터를 포함하는 로그를 수집하고, 프로그램 동작 위치, 프로그램 실행 정보, 프로그램 실행 대상 형태 및 프로그램 실행 주체, 프로그램 전체 경로 및 프로그램 정보 중 하나 이상을 포함하는 로그를 수집할 수 있다.
단계 S420에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 로그 정보를 클라우드 서버(200)로 전송한다.
단계 S430에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 관리 로그의 경우 시스템 및 네트워크 로그를 관리적 측면에서 모니터링한다.
도 5를 참조하면, 해킹 탐지 보안 정보 이벤트 운영부(300)는 관리 로그 UI를 통하여 모니터링 할 수 있다.
단계 S440에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 보안 로그의 경우 공격 유형을 구분하여 관리하고 모니터링한다.
도 6을 참조하면, 해킹 탐지 보안 정보 이벤트 운영부(300)는 보안 로그 UI 화면을 통하여 웹 서버에서 생성되는 Cookie, Status, Server, Request, Referer, User-Agent, Connection, Host, Accept-Encoding, Method, x-forwarded-for, Remote-addr, Uri,Cache-Control, Content-Length, Request-date, Content-Type 로그와, 웹 트래픽의 HTTP 프로토콜의 Request 방식의 GET, POST, HEAD, OPTIONS, PUT, DELETE, TRACE 로그를 관리하고 모니터링할 수 있다.
단계 S450에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 로그 정보와 연동한 시나리오 개발하여 서버 별 로그들의 정상 패턴에 대한 모델링 정보를 지속해서 업데이트한다.
단계 S460에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 시나리오에 기반하여 로그 정보에 대한 시나리오 상관분석을 수행한다.
단계 S470에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 공격이 탐지된 경우, 로그 정보에 대응하는 소스 IP 주소를 포함하는 탐지 정보를 생성한다.
도 7을 참조하면, 해킹 탐지 보안 정보 이벤트 운영부(300)는 머신 러닝을 이용하여 탐지 정보를 생성할 수 있다.
해킹 탐지 보안 정보 이벤트 운영부(300)는 RFI/LFI 공격 유형 학습데이터 확보와 분석을 통해 의미 있는 특징을 도출하고 효과적이면서도 공통으로 적용되는 데이터 전처리를 수행한다.
해킹 탐지 보안 정보 이벤트 운영부(300)는 아파치 스파크(Apache Spark) 머신러닝 툴을 사용하여 RFI/LFI 공격 패턴을 지도 학습하고, 학습된 모델들에 대한 교차 검증 및 정확도를 높이기 위한 여러 알고리즘과 그에 따른 파라미터 튜닝, 최종적으로 만들어진 모델을 이용 API를 적용한다.
해킹 탐지 보안 정보 이벤트 운영부(300)는 아파치 스파크 스트리밍(Apache Spark Stream) 툴을 이용하여 기존 클라우드 SaaS 서비스로부터 수집된 웹 로그 및 공격 탐지 로그를 ELK 스택으로부터 읽어 들여 학습하여 정확도를 검증하고 높여 나갈 수 있다.
단계 S480에서 해킹 탐지 보안 정보 이벤트 운영부(300)는 탐지 정보의 소스 IP 주소로부터의 접근을 차단한다. 예를 들어, 웹 서버(100)는 탐지 정보의 소스 IP 주소를 차단 리스트에 추가하고, 차단 리스트에 포함된 각 소스 IP 주소에 대응하는 접근을 차단할 수 있다.
상술한 본 발명의 실시 예들은 다양한 수단을 통해 구현될 수 있다. 또한, 본 발명의 실시 예들은 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다.
하드웨어에 의한 구현의 경우, 본 발명의 실시 예들에 따른 방법은 하나 또는 그 이상의 ASICs(Application Specific Integrated Circuits), DSPs(Digital Signal Processors), DSPDs(Digital Signal Processing Devices), PLDs(Programmable Logic Devices), FPGAs(Field Programmable Gate Arrays), 프로세서, 컨트롤러, 마이크로 컨트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.
펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 실시 예들에 따른 방법은 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차 또는 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드 등이 기록된 컴퓨터 프로그램은 컴퓨터 판독 가능 기록 매체 또는 메모리 유닛에 저장되어 프로세서에 의해 구동될 수 있다. 메모리 유닛은 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 프로세서와 데이터를 주고 받을 수 있다.
또한 본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 인코딩 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 인코딩 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방법으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
더불어 각 블록 또는 각 단계는 특정된 논리적 기능을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이와 같이, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (8)

  1. 해킹 탐지 보안 정보 이벤트 운영 시스템에 있어서,
    웹 서버 및 웹 서버 운영 체제 중 적어도 하나에서 로그를 수집하기 위한 설정을 수행하는 로그 설정부;
    상기 설정에 따라 수집된 상기 로그를 포함하는 로그 정보를 생성하는 로그 취합부; 및
    상기 로그 정보와 연동한 시나리오 개발하여 서버 별 로그들의 정상 패턴에 대한 모델링 정보를 지속해서 업데이트하는 모델 선정부; 및
    상기 시나리오에 기반하여 상기 로그 정보에 대한 시나리오 상관분석을 수행하는 로그 분석부를 포함하는 해킹 탐지 보안 정보 이벤트 운영부 시스템.
  2. 제1 항에 있어서,
    상기 로그 설정부는,
    포스트-바디, 리스폰스-바디로 전달되는 데이터를 포함하는 로그를 수집하고, 프로그램 동작 위치, 프로그램 실행 정보, 프로그램 실행 대상 형태 및 프로그램 실행 주체, 프로그램 전체 경로 및 프로그램 정보 중 하나 이상을 포함하는 로그를 수집하도록 하는 설정을 수행하는 해킹 탐지 보안 정보 이벤트 운영 시스템.
  3. 제 1항에 있어서,
    상기 모델 선정부는,
    시스템 레벨 애플리케이션 이상징후 탐지 시나리오인 경우, 로그인 후 profile을 수정하여 로그 생성을 회피하는 작업, ·로그인 후 bash_history를 검색하여 mysql 서버의 root 패스워드를 반복적으로 수행하는 작업, 로그인 후 mysql dump 파일을 외부로 전송을 수행하는 작업, redis 데이터를 dump 파일로 저장하고 외부로 전송을 수행하는 작업, 여러 서버에서 동시적 또는 시간차를 두고 호스트 파일을 변경하는 행위를 포함하는 시나리오를 선정하는 해킹 탐지 보안 정보 이벤트 운영 시스템.
  4. 제 1항에 있어서,
    상기 모델 선정부는,
    랜섬웨어 탐지 시나리오인 경우 실제 사용자의 파일을 변조하는 상황을 관리 로그와 보안 로그 조합 및 발생, 패턴 등을 분석하여 탐지하는 해킹 탐지 보안 정보 이벤트 운영 시스템.
  5. 해킹 탐지 보안 정보 이벤트 운영 시스템에서 실시간 웹 해킹 탐지를 위한 해킹 탐지 보안 정보 이벤트 운영 방법에 있어서,
    로그를 수집하기 위한 설정을 수행하는 단계;
    상기 설정에 따라 수집된 상기 로그를 포함하는 로그 정보를 생성하는 단계;
    상기 로그 정보를 상기 클라우드 서버로 전송하는 단계;
    상기 로그 정보와 연동한 시나리오 개발하여 서버 별 로그들의 정상 패턴에 대한 모델링 정보를 지속해서 업데이트하는 단계; 및
    상기 시나리오에 기반하여 상기 로그 정보에 대한 시나리오 상관분석을 수행하는 단계를 포함하는 해킹 탐지 보안 정보 이벤트 운영 방법.
  6. 제5항에 있어서,
    상기 해킹 탐지 보안 정보 이벤트 운영부에서 로그를 수집하기 위한 설정을 수행하는 단계는 포스트-바디, 리스폰스-바디로 전달되는 데이터를 포함하는 로그를 수집하고, 프로그램 동작 위치, 프로그램 실행 정보, 프로그램 실행 대상 형태 및 프로그램 실행 주체, 프로그램 전체 경로 및 프로그램 정보 중 하나 이상을 포함하는 로그를 수집하도록 하는 설정을 수행하는 해킹 탐지 보안 정보 이벤트 운영 방법.
  7. 제5항에 있어서,
    관리 로그의 경우 시스템 및 네트워크 로그를 관리적 측면에서 모니터링하는 단계; 및
    보안 로그의 경우 공격 유형을 구분하여 관리하고 모니터링하는 단계를 더 포함하는 해킹 탐지 보안 정보 이벤트 운영 방법.
  8. 제5항에 있어서,
    공격이 탐지된 경우, 로그 정보에 대응하는 소스 IP 주소를 포함하는 탐지 정보를 생성하는 단계를 더 포함하는 해킹 탐지 보안 정보 이벤트 운영 방법.
KR1020190056463A 2019-05-14 2019-05-14 시나리오 기반 상관분석을 통한 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법 KR102199177B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190056463A KR102199177B1 (ko) 2019-05-14 2019-05-14 시나리오 기반 상관분석을 통한 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190056463A KR102199177B1 (ko) 2019-05-14 2019-05-14 시나리오 기반 상관분석을 통한 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20200131627A true KR20200131627A (ko) 2020-11-24
KR102199177B1 KR102199177B1 (ko) 2021-01-06

Family

ID=73679586

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190056463A KR102199177B1 (ko) 2019-05-14 2019-05-14 시나리오 기반 상관분석을 통한 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102199177B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220077184A (ko) * 2020-11-30 2022-06-09 가천대학교 산학협력단 베이지안 확률 및 폐쇄 패턴 마이닝 방식을 이용한 로그 이상 탐지 시스템 및 방법과, 이를 위한 컴퓨터 프로그램
KR102428444B1 (ko) * 2021-02-05 2022-08-01 한전케이디엔주식회사 Ip정보를 활용한 vpn 보안관제 이상징후 탐지 시스템 및 방법
KR20220115323A (ko) * 2021-02-10 2022-08-17 주식회사 케이티 블록체인을 활용하여 로그를 감시하는 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015121968A (ja) * 2013-12-24 2015-07-02 三菱電機株式会社 ログ分析装置及びログ分析方法及びログ分析プログラム
US20180225461A1 (en) * 2015-04-20 2018-08-09 SafeBreach Ltd. System and method for creating and executing breach scenarios utilizing virtualized elements

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015121968A (ja) * 2013-12-24 2015-07-02 三菱電機株式会社 ログ分析装置及びログ分析方法及びログ分析プログラム
US20180225461A1 (en) * 2015-04-20 2018-08-09 SafeBreach Ltd. System and method for creating and executing breach scenarios utilizing virtualized elements

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220077184A (ko) * 2020-11-30 2022-06-09 가천대학교 산학협력단 베이지안 확률 및 폐쇄 패턴 마이닝 방식을 이용한 로그 이상 탐지 시스템 및 방법과, 이를 위한 컴퓨터 프로그램
KR102428444B1 (ko) * 2021-02-05 2022-08-01 한전케이디엔주식회사 Ip정보를 활용한 vpn 보안관제 이상징후 탐지 시스템 및 방법
KR20220115323A (ko) * 2021-02-10 2022-08-17 주식회사 케이티 블록체인을 활용하여 로그를 감시하는 장치

Also Published As

Publication number Publication date
KR102199177B1 (ko) 2021-01-06

Similar Documents

Publication Publication Date Title
US11792229B2 (en) AI-driven defensive cybersecurity strategy analysis and recommendation system
US20220210200A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US20220078210A1 (en) System and method for collaborative cybersecurity defensive strategy analysis utilizing virtual network spaces
US11750659B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
US11522882B2 (en) Detection of adversary lateral movement in multi-domain IIOT environments
US12063254B2 (en) Parametric analysis of integrated operational and information technology systems
US20220224723A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US20220014560A1 (en) Correlating network event anomalies using active and passive external reconnaissance to identify attack information
US10148685B2 (en) Event correlation across heterogeneous operations
US20230123314A1 (en) Detecting and mitigating attacks using forged authentication objects within a domain
US9742788B2 (en) Event correlation across heterogeneous operations
US20220232040A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US20210360032A1 (en) Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance
KR102199177B1 (ko) 시나리오 기반 상관분석을 통한 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법
US12041091B2 (en) System and methods for automated internet- scale web application vulnerability scanning and enhanced security profiling
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
Elsayed et al. PredictDeep: security analytics as a service for anomaly detection and prediction
WO2021216163A2 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US20210374251A1 (en) Ahead of time application launching for cybersecurity threat intelligence of network security events
CN111316272A (zh) 使用行为和深度分析的先进网络安全威胁减缓
US11765199B2 (en) Computer-based system for analyzing and quantifying cyber threat patterns and methods of use thereof
Abdalla et al. Log File Analysis Based on Machine Learning: A Survey: Survey
US20220292374A1 (en) Dynamic parameter collection tuning
CN111492360A (zh) 使用先进网络决策平台检测并减缓伪造认证对象攻击
KR102540904B1 (ko) 빅데이터 기반의 취약보안 관리를 위한 보안 토탈 관리 시스템 및 보안 토탈 관리 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant