WO2017188535A1 - 실시간성 이벤트를 탐지하는 방법 및 이를 이용한 서버 - Google Patents

실시간성 이벤트를 탐지하는 방법 및 이를 이용한 서버 Download PDF

Info

Publication number
WO2017188535A1
WO2017188535A1 PCT/KR2016/013046 KR2016013046W WO2017188535A1 WO 2017188535 A1 WO2017188535 A1 WO 2017188535A1 KR 2016013046 W KR2016013046 W KR 2016013046W WO 2017188535 A1 WO2017188535 A1 WO 2017188535A1
Authority
WO
WIPO (PCT)
Prior art keywords
event
detected
event element
detection
time
Prior art date
Application number
PCT/KR2016/013046
Other languages
English (en)
French (fr)
Inventor
원종성
유진상
Original Assignee
(주)시큐레이어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)시큐레이어 filed Critical (주)시큐레이어
Priority to US15/514,874 priority Critical patent/US10097570B2/en
Publication of WO2017188535A1 publication Critical patent/WO2017188535A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0695Management of faults, events, alarms or notifications the faulty arrangement being the maintenance, administration or management system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/2895Intermediate processing functionally located close to the data provider application, e.g. reverse proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/62Establishing a time schedule for servicing the requests
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Definitions

  • the log data is stored in a non-transitory storage medium (for example, a disk, etc.) and then retrieved (batched).
  • a structural detection typically causes a delay. Rapid detection of events can be difficult. Therefore, there is a need for a detection method of an event that can be accurate with real time.
  • FIG. 2 is a flowchart illustrating an example of a real-time event detection method according to an embodiment of the present invention.
  • FIG. 3 is a diagram specifically illustrating a scheme according to a first detection option of a real-time event detection method according to an embodiment of the present invention.
  • FIG. 7 is a diagram specifically illustrating a scheme according to a fifth detection option of a real-time event detection method according to an embodiment of the present invention.
  • the advantages of the technique described herein as the above embodiments are that the cluster nodes of the cluster module, which are heavily loaded according to the amount of input data, can be expanded without limitation, and the various detection policies can be flexibly applied, combined and changed to duplicate Filtering events can increase the efficiency of control.

Abstract

본 발명은 미리 정해진 유형의 실시간성 이벤트를 탐지하는 방법 및 이를 이용하는 서버에 관한 것이다. 본 발명에 따르면, (a) 서버가, 탐지 정책을 적재(load)하거나 적재하도록 지원하는 단계; 및 (b) 상기 서버가, 상기 탐지 정책에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 단계를 포함하는 방법 및 이를 이용하는 서버가 제공된다.

Description

실시간성 이벤트를 탐지하는 방법 및 이를 이용한 서버
본 발명은 미리 정해진 유형의 실시간성 이벤트를 탐지하는 방법 및 그 방법을 수행하는 서버에 관한 것으로, 보다 상세하게는, (a) 탐지 정책을 적재(load)하거나 적재하도록 지원하고, (b) 상기 탐지 정책에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 방법 및 이를 이용한 서버에 관한 것이다.
인터넷과 같은 네트워크 및 무선 통신 기술의 발전으로 인하여 유무선 통신의 사용이 계속 증가하고 있다.
그러나 최근 네트워크 상에서 악의적 트래픽 공격 행위, 예를 들어 서비스 거부 (Denial of Service; DoS) 공격이 빈번하게 발생하는 문제가 대두되고 있다. 서비스 거부 공격이라 함은 네트워크에 연결된 장치를 악의적으로 공격하여 해당 장치의 자원을 부족하게 만들어 원래 의도된 용도로 사용하지 못하게 하는 공격을 지칭한다. 수단, 동기, 표적은 다양할 수 있지만 이러한 공격으로 인하여 보통 인터넷 사이트 또는 서비스의 기능이 일시적 또는 무기한으로 방해되거나 중단되는 사태가 초래될 수 있다. 더욱이 여러 대의 공격자를 분산적으로 배치하여 동시에 서비스 거부 공격을 행하는 분산 서비스 거부 공격(Distributed DoS)까지 빈번하게 일어나고 있는 실정이므로 이에 대한 대비가 필요하다.
그러한 특정 공격 행위나 이상 행위의 이벤트를 탐지하여 이에 대한 대응을 하기 위하여 종래의 로그 수집 및 분석 시스템에서는 다양한 방법들이 이용되고 있다. 로그 수집 및 분석 시스템에서는 신속하게 이벤트를 탐지하고 사용자에게 통지를 하는 것(실시간성)도 중요하지만 정확하게 탐지하여 통지하는 것(정확성)도 중요하기 때문에 절충(trade-off)이 이루어진다.
즉, 종래에는 실시간성을 위하여 다수의 클러스터링된 노드를 가지는 모듈에 로그를 분산시키는데, 이러한 경우에는 전형적으로 단순히 문자열 매칭이나 단순히 임계치(동일한 종류의 로그가 이러한 임계치 이상 발생하면 이벤트라고 결정하는 것임)를 적용하여 이벤트를 탐지하기 때문에 원하는 이벤트를 정확하게 찾기 어려울 수 있다. 또한, 이러한 방식으로는 동일한 유형의 이벤트가 지속적으로 발생하여 관제에 어려움이 있을 수 있다. 예를 들어, 1000여 회의 동일 공격 행위에 대하여 수십 내지 수백 회의 이벤트를 각각 통지한다면, 공격 행위를 파악함에 있어서 관제하는 사용자가 곤란을 느낄 것이다.
반면에, 정확성을 위하여 종래에는 로그의 데이터를 비일시적 저장매체(예컨대 디스크 등)에 일괄 저장한 후에 검색(배치 처리)하는 형태를 취하는데, 이러한 경우에는 전형적으로 구조상 탐지에 지연이 발생하게 되므로 이벤트의 신속한 탐지가 어렵게 될 수 있다. 따라서, 실시간성과 함께 정확성을 가질 수 있는 이벤트의 탐지 기법이 요구된다.
이에, 본 발명자는, 로그 데이터를 처리하는 클러스터 노드에서 로그 데이터를 최초 수신하는 때에 비일시적 저장매체(디스크 등)에 저장하여 그로부터 탐색하지 않고, 메모리로부터 이벤트를 탐지하는 방법으로서, 이벤트 탐지시에 효율적이고 효과적인 이벤트 탐지를 위한 7가지의 이벤트 탐지 옵션을 이용하는 이벤트 탐지 방법 및 시스템을 제안하고자 한다.
본 발명은 상술한 문제점을 해결하는 것을 목적으로 한다.
구체적으로, 본 발명은 디스크 등의 비일시적 저장매체에 로그 데이터를 기록하지 않고 메모리 등의 일시적 저장매체에 로그 데이터를 저장하여 이를 참조하게 함으로써 이벤트 탐지를 신속하게 하는 것을 목적으로 한다.
또한, 본 발명은 분산된 클러스터 모듈을 이용하여 이벤트 탐지를 하면서도 단순한 문자열 매칭이나 단순한 임계치 적용 이외에 개선된 탐지 옵션을 제공함으로써 이벤트 탐지를 정확하게 하는 것을 다른 목적으로 한다.
또한, 본 발명은 이벤트 탐지에 이용되는 클러스터 모듈의 유연한 확장을 가능하게 하면서도 이벤트의 중복 탐지를 방지하는 것을 다른 목적으로 한다.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 효과를 실현하기 위한, 본 발명의 특징적인 구성은 하기와 같다.
본 발명의 일 태양에 따르면, 미리 정해진 유형의 실시간성 이벤트를 탐지하는 방법이 제공되는바, 그 방법은, (a) 서버가, 탐지 정책을 적재(load)하거나 적재하도록 지원하는 단계; 및 (b) 상기 서버가, 상기 탐지 정책에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 단계를 포함한다.
일 실시예에 따르면, 상기 (a) 단계는, 상기 서버가, 적어도 하나의 필터링 쓰레드(filtering thread)를 포함하는 클러스터 모듈로 하여금 상기 탐지 정책을 적재하도록 지원하는 것을 특징으로 할 수 있으며, 상기 (b) 단계는, 상기 서버가, 상기 각각의 필터링 쓰레드로 하여금 상기 탐지 정책에 따라 상기 다수의 입력 데이터로부터 이벤트 요소를 감지하도록 지원하고, 이벤트 탐지 모듈이 상기 탐지 정책에 따라 상기 감지된 이벤트 요소의 정보로부터 이벤트를 탐지하거나 탐지하도록 지원하는 것을 특징으로 할 수 있다.
다른 일 실시예에 따르면, 상기 방법은, (c) 상기 서버가, 상기 탐지된 이벤트를 보유하거나 보유하도록 지원하는 단계를 더 포함하되, 상기 (c) 단계는, 상기 서버가, 탐지 정책 관리 데이터베이스로 하여금 상기 탐지된 이벤트를 보유하도록 지원하는 것을 특징으로 할 수 있다.
본 발명의 이러한 실시예에 따르면, 상기 (a) 단계는, 탐지 정책 변경 사항을 적용하라는 요청이 감지되면, 상기 서버가, 적어도 하나의 필터링 쓰레드를 포함하는 클러스터 모듈로 하여금 탐지 정책을 적재하도록 지원하고, 상기 (b) 단계는, 상기 탐지 정책 변경 사항을 적용하라는 요청이 감지되면, 이벤트 탐지 모듈이 상기 탐지 정책에 따라 상기 감지된 이벤트 요소의 정보로부터 이벤트를 탐지할 수 있도록, 상기 서버가, 상기 이벤트 탐지 모듈로 하여금 상기 탐지 정책을 획득하도록 지원하는 것을 특징으로 할 수 있다.
본 발명의 다른 태양에 따르면, 미리 정해진 유형의 실시간성 이벤트를 탐지하는 서버가 제공되는바, 그 서버는, 탐지 정책을 적재하거나 적재하도록 지원하는 통신부; 및 상기 탐지 정책에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 프로세서를 포함한다.
일 실시예에 따르면, 상기 통신부는, 적어도 하나의 필터링 쓰레드를 포함하는 클러스터 모듈로 하여금 상기 탐지 정책을 적재하도록 지원할 수 있으며, 상기 프로세서는, 상기 각각의 필터링 쓰레드로 하여금 상기 탐지 정책에 따라 상기 다수의 입력 데이터로부터 이벤트 요소를 감지하도록 지원하고, 이벤트 탐지 모듈이 상기 탐지 정책에 따라 상기 감지된 이벤트 요소의 정보로부터 이벤트를 탐지하거나 탐지하도록 지원할 수 있다.
다른 일 실시예에 따르면, 상기 프로세서는, 탐지 정책 관리 데이터베이스로 하여금 상기 탐지된 이벤트를 보유하도록 지원할 수 있다.
본 발명의 이러한 실시예에 따르면, 상기 프로세서는, 탐지 정책 변경 사항을 적용하라는 요청이 감지되면, 적어도 하나의 필터링 쓰레드를 포함하는 클러스터 모듈로 하여금 탐지 정책을 적재하도록 지원하고, 상기 탐지 정책 변경 사항을 적용하라는 요청이 감지되면, 이벤트 탐지 모듈이 상기 탐지 정책에 따라 상기 감지된 이벤트 요소의 정보로부터 이벤트를 탐지할 수 있도록, 상기 이벤트 탐지 모듈로 하여금 상기 탐지 정책을 획득하도록 지원할 수 있다.
본 발명에 의하면, 비일시적 저장매체에 데이터를 저장하지 않고 메모리 상에 있는 데이터를 처리함으로써 클러스터 구조에서 거의 실시간에 가깝게 이벤트를 탐지할 수 있는 효과가 있다.
또한, 본 발명에 의하면, 입력 데이터의 양에 따라 부하가 많이 걸리는 클러스터 모듈의 클러스터 노드를 한계 없이 확장시킬 수 있으며, 다양한 탐지 정책을 적용하여 중복된 이벤트를 걸러냄으로써 관제의 효율성을 증대시킬 수 있는 효과가 있다.
본 발명의 실시예의 설명에 이용되기 위하여 첨부된 아래 도면들은 본 발명의 실시예들 중 단지 일부일 뿐이며, 본 발명이 속한 기술분야의 통상의 기술자에게 있어서는 발명적 작업이 이루어짐 없이 이 도면들에 기초하여 다른 도면들이 얻어질 수 있다.
도 1은 본 발명의 일 실시예에 따른 실시간성 이벤트를 탐지하는 방법을 적용하기 위한 예시적 구성을 개략적으로 도시한 개념도이다.
도 2는 본 발명의 일 실시예에 따른 실시간성 이벤트 탐지 방법을 예시적으로 나타낸 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 실시간성 이벤트 탐지 방법의 제1 탐지 옵션에 따른 방식을 구체적으로 예시한 도면이다.
도 4는 본 발명의 일 실시예에 따른 실시간성 이벤트 탐지 방법의 제2 탐지 옵션에 따른 방식을 구체적으로 예시한 도면이다.
도 5는 본 발명의 일 실시예에 따른 실시간성 이벤트 탐지 방법의 제3 탐지 옵션에 따른 방식을 구체적으로 예시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 실시간성 이벤트 탐지 방법의 제4 탐지 옵션에 따른 방식을 구체적으로 예시한 도면이다.
도 7은 본 발명의 일 실시예에 따른 실시간성 이벤트 탐지 방법의 제5 탐지 옵션에 따른 방식을 구체적으로 예시한 도면이다.
도 8은 본 발명의 일 실시예에 따른 실시간성 이벤트 탐지 방법의 제6 탐지 옵션에 따른 방식을 구체적으로 예시한 도면이다.
도 9는 본 발명의 일 실시예에 따른 실시간성 이벤트 탐지 방법의 제7 탐지 옵션에 따른 방식을 구체적으로 예시한 도면이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명의 목적들, 기술적 해법들 및 장점들을 분명하게 하기 위하여 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다.
또한, 본 발명의 상세한 설명 및 청구항들에 걸쳐, ‘포함하다’라는 단어 및 그것의 변형은 다른 기술적 특징들, 부가물들, 구성요소들 또는 단계들을 제외하는 것으로 의도된 것이 아니다. 해당 기술분야의 통상의 기술자에게 본 발명의 다른 목적들, 장점들 및 특성들이 일부는 본 설명서로부터, 그리고 일부는 본 발명의 실시로부터 드러날 것이다. 아래의 예시 및 도면은 실례로서 제공되며, 본 발명을 한정하는 것으로 의도된 것이 아니다.
더욱이 본 발명은 본 명세서에 표시된 실시예들의 모든 가능한 조합들을 망라한다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
본 명세서에서 달리 표시되거나 분명히 문맥에 모순되지 않는 한, 단수로 지칭된 항목은, 그 문맥에서 달리 요구되지 않는 한, 복수의 것을 아우른다. 이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 실시간성 이벤트 탐지 방법을 적용하기 위한 예시적 구성으로서, 서버(100)와 그 필수적 구성요소들{통신부(110) 및 프로세서(120)}, 탐지 정책 관리 데이터베이스(200), 클러스터 모듈(300), 이벤트 탐지 모듈(400) 및 서버에 접속된 UI(User Interface) 단말(500)이 개략적으로 도시된 개념도이다.
도 1을 참조하면, 서버(100)는 탐지 정책 관리 데이터베이스(200)를 포함하는 것으로 도시되어 있다. 다른 실시예에서는, 탐지 정책 관리 데이터베이스(200)가 서버(100)와는 독립된 장치에서 구현될 수도 있으며, 이 경우에 서버(100)는 통신부(110)의 유선 연결 또는 무선 연결(이하, “유무선 연결”이라 함)을 통하여 탐지 정책 관리 데이터베이스(200)와 연동할 수 있다.
탐지 정책 관리 데이터베이스(200)에는 탐지 정책 관리 테이블이 마련될 수 있는데, 그 탐지 정책 관리 테이블에 탐지 정책의 데이터가 보유될 수 있다. 탐지 정책 관리 데이터베이스(200)는 탐지 정책을 보유하면서 그 탐지 정책에 대한 조회 요청이 있으면, 그에 응하여 탐지 정책을 전달하는 기능을 할 수 있다.
또한, 도 1에는 서버(100)가 클러스터 모듈(300)을 포함하는 것으로 도시되어 있다. 다른 실시예에서는, 클러스터 모듈(300)이 서버(100)와는 독립된 장치에서 구현될 수도 있으며, 이 경우에 서버(100)는 통신부(110)의 유무선 연결을 통하여 클러스터 모듈(300)과 연동할 수 있다.
클러스터 모듈(300)은 다수의 클러스터링된 클러스터 노드들을 포함할 수 있으며, 이벤트 요소를 탐지하는 규칙을 쿼리(query)로 표현한 것인 탐지 룰 셋 쿼리(detection rule set query)에 해당되는 데이터를 1차적으로 감지할 수 있다. 그러한 기능을 수행하기 위하여 이 클러스터 노드 위에서 필터링 쓰레드들이 구현되는바, 그 기능에 대한 상세한 설명은 후술하기로 한다.
또한, 도 1에는 서버(100)가 이벤트 탐지 모듈(400)을 포함하는 것으로 도시되어 있다. 다른 실시예에서는 이벤트 탐지 모듈(400)이 서버(100)와는 독립된 장치에서 구현될 수 있으며, 이 경우에 서버(100)는 통신부(110)의 유무선 연결을 통하여 이벤트 탐지 모듈(400)과 연동할 수 있다.
이벤트 탐지 모듈(400)은 클러스터 모듈(300)로부터 1차적으로 획득된 이벤트 요소(이벤트 탐지의 여부를 결정하기 위한 기초 데이터)를 메모리 상에 취합하여 본 발명에 따른 7가지 탐지 옵션에 따라 이벤트를 탐지하는, 즉 이벤트 요소들 중에서 이벤트를 결정하는 기능을 한다. 이벤트 탐지 모듈(400)은 탐지된 이벤트를 탐지 정책 관리 데이터베이스(200)에 전달할 수 있다.
전술한 탐지 정책 관리 데이터베이스(200), 클러스터 모듈(300) 및 이벤트 탐지 모듈(400)은, 서버(100)에 포함되든 서버(100)와는 독립적인 장치로 구성되든 간에 서로 연동하며, 본 발명의 방법에 따라 이벤트를 탐지하는 기능을 수행한다.
그리고, 도 1을 참조하면, UI 단말(500)이 도시되어 있는데, 사용자에 의하여 정의된 탐지 정책은 이 UI 단말(500)로부터 획득될 수 있을 것이나, 본 발명의 필수적인 구성 요소는 아니다.
예를 들어 UI 단말(500)은 무선 네트워크 클라이언트, 데스크톱 컴퓨터, 랩톱, 모바일 장비, 휴대폰, PDA, 기타 단말 장치일 수 있으나, 이에 한정되는 것이 아니라는 점이 본 발명 기술분야의 통상의 기술자에 의해 이해될 것이다. UI 단말(500)에는 이벤트의 탐지 정책을 등록, 수정, 삭제 가능한 UI 기반 사용자 인터페이스 모듈이 구현된다. 이 사용자 인터페이스 모듈에 의하여, 탐지 룰 셋 쿼리, 탐지 옵션, 각각의 탐지 옵션의 알고리즘에 이용되는 기준 시간, 임계치, 유일 필드 및 유일 필드 임계치 등이 설정될 수 있다. 실시예에 따라서는 그러한 설정이 변경되면 변경된 탐지 정책이 탐지 정책 관리 데이터베이스(200)에 보유될 수도 있으며, 클러스터 모듈(300) 및 이벤트 탐지 모듈(400) 중의 적어도 하나에 통지될 수도 있다.
또한, 도 1의 서버(100)는 통신부(110)와 프로세서(120)를 포함하는데, 이들은 본 발명에 따른 실시간성 이벤트 탐지 방법을 수행함에 있어서 필수적인 기능을 담당하는 서버(100)의 구성요소들이다.
구체적으로, 통신부(110) 및 프로세서(120)는 본 발명에 따른 실시간성 이벤트 탐지 방법을 탐지 정책을 적재(load)하거나 적재하도록 지원한다. 일 실시예에 있어서, 통신부(110)는 적어도 하나의 필터링 쓰레드(filtering thread)를 포함하는 클러스터 모듈(300)로 하여금 상기 탐지 정책을 적재하도록 지원할 수도 있다.
또한, 프로세서(120)는 통신부(110)를 통하여 획득된 탐지 정책에 따라 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 본 발명에 따른 실시간성 이벤트 탐지 방법을 수행할 수 있다.
아래에서는 서버(100)에 의하여 수행되는 본 발명의 실시간성 이벤트 탐지 방법을 더 상세하게 설명한다.
도 2는 본 발명의 일 실시예에 따른 실시간성 이벤트 탐지 방법을 예시적으로 나타낸 흐름도이다.
도 2를 참조하면, 본 발명에 따른 실시간성 이벤트 탐지 방법은, 서버(100)가, 탐지 정책을 적재하거나 적재하도록 지원하는 단계(S100)를 포함한다.
탐지 정책이라 함은, 어떠한 이벤트를 탐지할 것인지에 관한 규칙을 정한 것인바, 여기에는 이벤트를 구성하는 요소인 개별의 이벤트 요소를 탐지하는 규칙을 쿼리로 표현한 탐지 룰 셋 쿼리, 이벤트의 탐지에 이용되는 개별의 알고리즘을 의미하는 탐지 옵션, 각각의 탐지 옵션의 알고리즘에 이용되는 기준 시간, 임계치, 유일 필드 및 유일 필드 임계치 등이 포함될 수 있으나, 이에 한정되는 것은 아니다.
일 예시로서, 단계(S100)에서는 서버(100)가 클러스터 모듈(300)로 하여금 탐지 정책을 적재하도록 지원할 수 있으며, 그러한 클러스터 모듈(300)은 적어도 하나의 필터링 쓰레드를 포함한다. 경우에 따라서는, 탐지 정책 변경 사항을 적용하라는 요청이 감지되는 조건으로 서버(100)가 클러스터 모듈(300)로 하여금 탐지 정책을 적재하도록 지원할 수도 있다. 예를 들어 위 탐지 정책 변경 사항을 적용하라는 요청은 서버(100)에 접속된 UI 단말(500)에서 비롯된 것이거나 UI 단말(500) 등으로부터 새로운 탐지 정책을 획득한 탐지 정책 관리 데이터베이스(200)에서 비롯된 것일 수 있다.
바람직하게는, 단계(S100)는 서버(100)가 검증용 입력 데이터를 이용하여 상기 적재된 탐지 정책의 무결성을 판정하는 프로세스를 더 수행하거나 수행하도록 지원할 수 있다. 그러한 검증용 입력 데이터는 미리 준비되어 있는 고정적인 세트이거나, 별도의 검증 데이터 생성 프로세스에 의하여 준비되는 더미(dummy) 데이터일 수 있다.
다시 도 2를 참조하면, 본 발명에 따른 실시간성 이벤트 탐지 방법은, 서버(100)가, 탐지 정책에 따라 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 단계(S200)를 더 포함한다. 여기에서 입력 데이터라고 함은 이벤트를 탐지해 낼 대상으로서의 로그 데이터 등을 지칭한다. 입력 데이터는 텍스트(text) 또는 바이너리(binary) 데이터 중 적어도 하나를 포함할 수 있다. 이러한 입력 데이터는 서버(100)의 통신부(110)에 의하여 서버(100)가 획득하거나, 혹은 서버와 연동하는 클러스터 모듈(300)이 획득할 수도 있다.
일 예시로서, 단계(S200)에서는 서버(100)가 클러스터 모듈(300)에 포함된 각각의 필터링 쓰레드로 하여금 탐지 정책에 따라 다수의 입력 데이터로부터 이벤트 요소를 감지하도록 지원하고, 이벤트 탐지 모듈(400)이 상기 탐지 정책에 따라 상기 감지된 이벤트 요소의 정보로부터 이벤트를 탐지하거나 탐지하도록 지원할 수도 있다. 경우에 따라서는, 탐지 정책 변경 사항을 적용하라는 요청이 감지되는 조건으로, 서버(100)는, 이벤트 탐지 모듈(400)로 하여금 상기 탐지 정책을 획득하도록 지원함으로써 이벤트 탐지 모듈(400)이 그 탐지 정책에 따라 이벤트를 탐지하거나 탐지하도록 지원할 수도 있다. 앞서 언급된 바와 마찬가지로, 위 탐지 정책 변경 사항을 적용하라는 요청은 서버(100)에 접속된 UI 단말(500) 또는 UI 단말(500) 등으로부터 새로운 탐지 정책을 획득한 탐지 정책 관리 데이터베이스(200)에서 비롯된 것일 수 있다.
또한, 단계(S200)에서는 탐지 정책이 탐지 룰 셋 쿼리를 포함하는 경우에 서버(100)가 다수의 입력 데이터 중에서 그 탐지 룰 셋 쿼리에 해당되는 입력 데이터를 이벤트 요소로 결정하거나 결정하도록 지원할 수도 있다.
또한, 단계(S200)에서, 탐지 정책이 유일 필드 및 유일 필드 임계치 x를 포함하는 경우에 서버(100)가, 상기 유일 필드의 필드 값이 동일한 최대 x개의 입력 데이터들을 하나의 입력 데이터인 것으로 필터링(filtering)하거나 필터링하도록 지원할 수도 있으며, 탐지 정책이 유일 필드 임계치 없이 유일 필드만을 포함하는 경우에는 서버(100)가, 상기 유일 필드의 필드 값이 동일한 입력 데이터들을 하나의 입력 데이터인 것으로 필터링하거나 필터링하도록 지원할 수도 있다. 이러한 유일 필드 및 유일 필드 임계치의 역할은 이벤트 판정 대상이 되는 이벤트 요소의 개수를 감소시킴으로써 이벤트를 보다 효율적으로 탐지할 수 있게 하는 것이다.
구체적으로, 단계(S200)에서 다수의 입력 데이터로부터 각각의 이벤트 요소들을 실시간으로 감지하여 이벤트를 실시간으로 탐지할 수 있도록 하는 방식은 탐지 정책에 포함될 수 있는 아래의 적어도 6 가지의 탐지 옵션에 따른 것일 수 있다.
제1 탐지 옵션
제1 탐지 옵션에 대응되는 제1 알고리즘에 따른 탐지는, 이벤트 요소가 발생됨이 최초로 감지되면, 서버(100)가, 최초로 감지된 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 최초로 감지된 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계(S211, 미도시); 및 이벤트 요소의 발생 시각으로부터 기준 시간을 경과하기 전에 다른 이벤트 요소가 발생됨이 감지되면, 서버(100)가, 감지된 다른 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 감지된 다른 이벤트 요소를 새로이 갱신된 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하고, 기준 이벤트 요소의 발생 시각으로부터 기준 시간을 경과한 이후에 다른 이벤트 요소가 발생됨이 감지되면, 서버(100)가, 감지된 다른 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 감지된 다른 이벤트 요소를 새로이 갱신된 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계(S212, 미도시)를 포함한다.
도 3은 위 제1 탐지 옵션에 따른 이벤트 탐지를 타임 라인으로 예시한 도면이다. 이 예시 도면에서 기준 시간은 1분으로 가정하고 원 안에 든 숫자는 이벤트 요소의 번호를 지칭한다. 도 3에서 탐지를 시작한 시점을 0초라고 할 때, 최초의 이벤트 요소(이벤트 요소 1)는 탐지된 이벤트로 결정된다. 이 최초의 이벤트 요소는 기준 이벤트 요소로 설정되는바, 기준 이벤트 요소는 이벤트 발생 여부를 판단하기 위한 기준 시점에 대응되는 이벤트 요소이다. 이 최초의 기준 이벤트 요소로부터 기준 시간이 경과되기 전에 이벤트 요소 2가 발생하였으므로, 이 이벤트 요소는 이벤트로 결정되지 않고 무시되고 이벤트 요소 2는 새로운 기준 이벤트 요소인 것으로 갱신된다. 이벤트 요소 3도 기준 이벤트 요소인 이벤트 요소 2로부터 기준 시간이 경과되기 전에 발생한 것이므로, 이벤트로 결정되지 않고 무시되며 기준 이벤트 요소도 새로이 갱신된다. 다음으로, 이벤트 요소 4는 기준 이벤트 요소인 이벤트 요소 3으로부터 기준 시간이 경과된 이후에 발생된 것이므로 이벤트인 것으로 결정되고, 역시 기준 이벤트 요소가 새로이 갱신된다. 이벤트 요소 5가 이벤트로 결정되지 않고 무시됨은 앞서 살핀 이벤트 2 및 3과 마찬가지이다. 결과적으로, 이벤트 요소 1 내지 5 중에서 이벤트 요소 1과 이벤트 요소 4만이 탐지된 이벤트로 결정된다.
제2 탐지 옵션
다음으로, 제2 탐지 옵션에 대응되는 제2 알고리즘에 따른 탐지는, 이벤트 요소가 발생됨이 최초로 감지되면, 서버(100)가, 최초로 감지된 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 최초로 감지된 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계(S221, 미도시); 및 기준 이벤트 요소의 발생 시각으로부터 기준 시간을 경과하기 전에 다른 이벤트 요소가 발생됨이 감지되면, 서버(100)가, 감지된 다른 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 감지된 다른 이벤트 요소를 새로이 갱신된 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하고, 기준 이벤트 요소의 발생 시각으로부터 기준 시간을 경과한 이후에 다른 이벤트 요소가 발생됨이 감지되면, 서버(100)가, 감지된 다른 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 감지된 다른 이벤트 요소를 새로이 갱신된 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계(S222, 미도시)를 포함한다.
도 4는 위 제2 탐지 옵션에 따른 이벤트 탐지를 타임 라인으로 예시한 도면이다. 이 예시 도면에서도 기준 시간은 1분으로 가정한다. 도 4에서 탐지를 시작한 시점을 0초라고 할 때, 최초의 이벤트 요소(이벤트 요소 1)는 이벤트로 결정되지 않고 무시된다. 이 최초의 이벤트 요소는 기준 이벤트 요소로 설정된다. 이 최초의 기준 이벤트 요소로부터 기준 시간이 경과되기 전에 이벤트 요소 2가 발생하였으므로, 이 이벤트 요소는 이벤트로 결정되고 이벤트 요소 2는 새로운 기준 이벤트 요소인 것으로 갱신된다. 이벤트 요소 3도 기준 이벤트 요소인 이벤트 요소 2로부터 기준 시간이 경과되기 전에 발생한 것이므로, 이벤트로 결정되며 기준 이벤트 요소도 새로이 갱신된다. 다음으로, 이벤트 요소 4는 기준 이벤트 요소인 이벤트 요소 3으로부터 기준 시간이 경과된 이후에 발생된 것이므로 이벤트로 결정되지 않고 무시되고, 역시 기준 이벤트 요소가 새로이 갱신된다. 이벤트 요소 5가 이벤트로 결정됨은 앞서 살핀 이벤트 2 및 3과 마찬가지이다. 결과적으로, 이벤트 요소 1 내지 5 중에서 이벤트 요소 2, 3 및 5만이 탐지된 이벤트로 결정된다.
제3 탐지 옵션
다음으로, 제3 탐지 옵션에 대응되는 제3 알고리즘에 따른 탐지는, 이벤트 요소가 발생됨이 감지되면, 서버(100)가, 감지된 이벤트 요소를 탐지된 이벤트로 결정하거나 결정하도록 지원하는 단계(S231, 미도시)를 포함한다.
도 5는 위 제3 탐지 옵션에 따른 이벤트 탐지를 타임 라인으로 예시한 도면이다. 도 5에서 탐지를 시작한 시점을 0초라고 할 때, 모든 이벤트 요소는 탐지된 이벤트로 결정된다. 이벤트 요소가 무시되는 경우는 없으며 임계치 또는 기준 시간에 관계 없이 모든 이벤트 요소 감지시마다 모두 이벤트가 발생한 것으로 결정된다.
제4 탐지 옵션
다음으로, 제4 탐지 옵션에 대응되는 제4 알고리즘에 따른 탐지는, 기준 시간 이내의 연이은 n개의 이벤트 요소가 발생됨이 최초로 감지되면, 서버(100)가, 최초로 감지된 n개의 이벤트 요소 중 미리 정해진 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 최초로 감지된 n개의 이벤트 요소 중 m번째 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계(S241); 및 기준 이벤트 요소의 발생 시각 후에 연이은 n개의 다른 이벤트 요소가 발생됨이 감지되고, 감지된 n개의 다른 이벤트 요소 모두가 기준 이벤트 요소의 발생 시각으로부터 기준 시간을 경과하기 전에 발생한 것이라면, 서버(100)가, 감지된 n개의 다른 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 새로이 갱신된 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하고, 기준 이벤트 요소의 발생 시각 후에 연이은 n개의 다른 이벤트 요소가 발생됨이 감지되고, 감지된 n개의 다른 이벤트 요소 중 적어도 하나가 기준 이벤트 요소의 발생 시각으로부터 기준 시간을 경과한 이후에 발생한 것이라면, 서버(100)가, 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 새로이 갱신된 기준 이벤트 요소로 결정하는 프로세스를 수행하거나 수행하도록 지원하는 단계(S242)를 포함한다.
도 6은 위 제4 탐지 옵션에 따른 이벤트 탐지를 타임 라인으로 예시한 도면이다. 이 예시 도면에서 기준 시간은 1분으로, 임계치는 3, m은 3으로 가정한다. 전형적으로 m은 1 이상 n 이하의 정수일 것이나, 이에 한정되지는 않는다.
도 6에서 탐지를 시작한 시점을 0초라고 할 때, 기준 시간 내에 연이어 발생한 첫 3개의 이벤트 요소 중 3번째 이벤트 요소(이벤트 요소 3)는 탐지된 이벤트로 결정된다. 이 이벤트 요소 3은 기준 이벤트 요소로 설정된다. 이 기준 이벤트 요소가 발생된 후에 연이어 발생한 3개의 이벤트 요소(이벤트 요소 4, 5 및 6)가 감지되고 그 모두가 기준 이벤트 요소로부터 기준 시간 내에 발생한 것이므로, 이 이벤트 요소들(이벤트 요소 4, 5 및 6)은 이벤트로 결정되지 않고 무시되며, 이벤트 요소 6이 새로운 기준 이벤트 요소인 것으로 갱신된다. 이 새로운 기준 이벤트 요소가 발생된 후에 연이어 발생한 3개의 이벤트 요소(이벤트 요소 7, 8 및 9)가 감지되고 그 3개의 이벤트 요소는 서로 기준 시간 내에 발생한 것이지만 그 중 적어도 하나가(이 경우에는 그 모두가) 기준 이벤트 요소로부터 기준 시간이 경과한 후에 발생한 것이므로 그 3개의 이벤트 요소(이벤트 요소 7, 8 및 9) 중 3번째 요소인 이벤트 요소 9는 이벤트인 것으로 결정되고, 기준 이벤트 요소가 새로이 갱신된다. 결과적으로, 이벤트 요소 1 내지 9 중에서 이벤트 요소 3과 이벤트 요소 9만이 탐지된 이벤트로 결정된다.
제5 탐지 옵션
다음으로, 제5 탐지 옵션에 대응되는 제5 알고리즘에 따른 탐지는, 기준 시간 이내의 연이은 n개의 이벤트 요소가 발생됨이 최초로 감지되면, 서버(100)가, 최초로 감지된 n개의 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 최초로 감지된 n개의 이벤트 요소 중 m번째 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계(S251); 및 기준 이벤트 요소의 발생 시각 후에 연이은 n개의 다른 이벤트 요소가 발생됨이 감지되고, 감지된 n개의 다른 이벤트 요소 모두가 기준 이벤트 요소의 발생 시각으로부터 기준 시간을 경과하기 전에 발생한 것이라면, 서버(100)가, 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 새로이 갱신된 기준 이벤트 요소로 결정하는 프로세스를 수행하거나 수행하도록 지원하고, 기준 이벤트 요소의 발생 시각 후에 연이은 n개의 다른 이벤트 요소가 발생됨이 감지되고, 감지된 n개의 다른 이벤트 요소 중 적어도 하나가 기준 이벤트 요소의 발생 시각으로부터 기준 시간을 경과한 이후에 발생한 것이라면, 서버(100)가, 감지된 n개의 다른 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 새로이 갱신된 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계(S252)를 포함한다.
도 7은 위 제5 탐지 옵션에 따른 이벤트 탐지를 타임 라인으로 예시한 도면이다. 이 예시 도면에서도 기준 시간은 1분으로, 임계치는 3, m은 3으로 가정한다. 도 7에서 탐지를 시작한 시점을 0초라고 할 때, 기준 시간 내에 연이어 발생한 첫 3개의 이벤트 요소는 탐지된 이벤트로 결정되지 않고 무시된다. 이 중 m번째 이벤트 요소인 이벤트 요소 3은 기준 이벤트 요소로 설정된다. 이 기준 이벤트 요소가 발생된 후에 연이어 발생한 3개의 이벤트 요소(이벤트 요소 4, 5 및 6)가 감지되고 그 모두가 기준 이벤트 요소로부터 기준 시간 내에 발생한 것이므로, 이 이벤트 요소들(이벤트 요소 4, 5 및 6) 중 3번째 이벤트 요소인 이벤트 요소 6은 이벤트로 결정되며, 이 이벤트 요소 6이 새로운 기준 이벤트 요소인 것으로 갱신된다. 이 새로운 기준 이벤트 요소가 발생된 후에 연이어 발생한 3개의 이벤트 요소(이벤트 요소 7, 8 및 9)가 감지되고 그 모두가 기준 이벤트 요소로부터 기준 시간 내에 발생한 것이므로, 이 이벤트 요소들(이벤트 요소 7, 8 및 9) 중 3번째 이벤트 요소인 이벤트 요소 9가 이벤트로 결정되며, 이 이벤트 요소 9는 새로운 기준 이벤트 요소인 것으로 갱신된다. 이 새로운 기준 이벤트 요소가 발생한 후에 연이어 발생한 3개의 이벤트 요소는 모두 서로가 기준 시간 내에 있는 것이지만, 그 중 적어도 하나(이 경우에는 그 모두)가 기준 시간이 경과한 후에 발생한 것이므로 이벤트로 결정되지 않고 무시되며, 기준 이벤트 요소도 새로이 갱신된다. 결과적으로 도 7에서 이벤트 요소 6 및 9만이 탐지된 이벤트인 것으로 결정된다.
제6 탐지 옵션
다음으로, 제6 탐지 옵션에 대응되는 제6 알고리즘에 따른 탐지는, 기준 시간 이내의 연이은 n개의 이벤트 요소가 발생됨이 최초로 감지되면, 서버(100)가, 최초로 감지된 n개의 이벤트 요소 중 미리 정해진 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 최초로 감지된 n개의 이벤트 요소 중 n번째 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계(S261); 및 기준 이벤트 요소의 발생 시각 후에 다른 이벤트 요소가 발생됨이 감지되고, 감지된 다른 이벤트 요소를 n번째 이벤트 요소로 하는 연이은 n개의 이벤트 요소 모두가 기준 이벤트 요소의 발생 시각 후에 발생한 것이고, 연이은 n개의 이벤트 요소 중 1번째 이벤트 요소와 n번째 이벤트 요소 사이의 발생 시각의 차이가 기준 시간에 포함된다면, 서버(100)가, 연이은 n개의 이벤트 요소 중 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 연이은 n개의 이벤트 요소 중 n번째 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계(S262)를 포함한다.
도 8은 위 제6 탐지 옵션에 따른 이벤트 탐지를 타임 라인으로 예시한 도면이다. 이 예시 도면에서도 기준 시간은 1분으로, 임계치는 3, m은 3으로 가정한다. 도 8에서 탐지를 시작한 시점을 0초라고 할 때, 기준 시간 내에 연이어 발생한 첫 3개의 이벤트 요소 중 3번째 이벤트 요소(이벤트 요소 3)는 탐지된 이벤트로 결정된다. 이 이벤트 요소 3은 기준 이벤트 요소로 설정된다. 이 기준 이벤트 요소가 발생된 후에 다른 이벤트 요소인 이벤트 요소 4가 감지되지만, 이 이벤트 요소 4를 3번째 이벤트 요소로 하는 연이은 3개의 이벤트 요소(이벤트 요소 2, 3 및 4) 모두가 기준 이벤트 요소인 이벤트 요소 3의 발생 시각 후에 발생한 것이 아니므로, 더 처리하지 않고 무시된다. 그 다음, 다른 이벤트 요소인 이벤트 요소 5가 감지되지만 이를 3번째 이벤트 요소로 하는 연이은 3개의 이벤트 요소(이벤트 요소 3, 4 및 5) 모두도 이벤트 요소 3의 발생 시각 후에 발생한 것이 아니므로, 더 처리 없이 무시된다. 다음으로, 다른 이벤트 요소인 이벤트 요소 6이 감지되고, 이를 3번째 이벤트 요소로 하는 연이은 3개의 이벤트 요소(이벤트 요소 4, 5 및 6) 모두가 기준 이벤트 요소인 이벤트 요소 3의 발생 시각 후에 발생한 것이고, 그 중 1번째 이벤트 요소인 이벤트 요소 4와 3번째 이벤트 요소인 이벤트 요소 6 사이의 발생 시각의 차이가 49초 미만으로서 기준 시간인 1분에 포함되는 것이므로, 그 연이은 3개의 이벤트 요소 중의 3번째 이벤트 요소인 이벤트 요소 6은 탐지된 이벤트로 결정되고, 이벤트 요소 6은 기준 이벤트 요소로 새로이 갱신된다. 이와 마찬가지의 과정이 반복되어 이벤트 요소 9 또한 탐지된 이벤트로 결정되고 이벤트 요소 9 역시 새로운 기준 이벤트인 것으로 갱신된다. 위 과정을 반복하면, 이벤트 요소 10 및 11은 무시되고, 이벤트 요소 1 또한 이벤트 요소 10, 11 및 12가 기준 시간 1분 내에 있지 않으므로 무시된다. 이벤트 요소 14에 이르러서야 이벤트 요소 12, 13 및 14 모두가 기준 이벤트 요소인 이벤트 요소 9의 발생 시각 후에 발생한 것이며 서로가 기준 시간 1분 내에 속한 것이어서 이벤트 요소 14가 이벤트인 것으로 결정되고, 기준 이벤트 요소가 새로이 갱신된다. 결과적으로, 이벤트 요소 1 내지 14 중에서 이벤트 요소 3, 6, 9 및 14만이 탐지된 이벤트인 것으로 결정된다.
제7 탐지 옵션
마지막 예시로서, 제7 탐지 옵션에 대응되는 제7 알고리즘에 따른 탐지는, 서버(100)가, 탐지가 시작되는 시각인 탐지 시작 시각 t0를 스케줄 시작 시각 t로 설정하거나 설정하도록 지원하는 단계(S271); 및 스케줄 시작 시각 t로부터 기준 시간 p가 경과한 경우에, t로부터 t+p까지 적어도 n개의 이벤트 요소가 발생됨이 감지되면, 서버가, 감지된 적어도 n개의 이벤트 요소 중 미리 정해진 m번째 이벤트 요소를 탐지된 이벤트로 결정하거나 t+p 시점을 이벤트가 발생한 시점으로 결정하는 프로세스 및 t+p를 새로운 스케줄 시작 시각 t로 설정하는 프로세스를 수행하거나 수행하도록 지원하고, t로부터 t+p까지 n개의 이벤트 요소가 발생되지 않음이 감지되면, 서버가, t로부터 t+p까지 사이의 시간 동안 이벤트가 탐지되지 않은 것으로 결정하고 t+p를 새로운 스케줄 시작 시각 t로 설정하거나 설정하도록 지원하는 단계(S272)를 포함한다.
도 9는 위 제7 탐지 옵션에 따른 이벤트 탐지를 타임 라인으로 예시한 도면이다. 이 예시 도면에서도 스케줄을 위한 기준 시간 p는 1분으로, 임계치는 3, m은 3으로 가정한다. 도 9에서 탐지를 시작한 시점을 t = t0 (= 0초 시점)라고 할 때, t 와 t+p (= 60초 시점) 사이에서 연이어 발생한 첫 3개의 이벤트 요소 중 적어도 하나의 이벤트 요소가 탐지된 이벤트로 결정되거나 t+p = 60초 시점이 이벤트 발생 시점으로 결정된다. 이 60초 시점은 새로운 스케줄 시작 시각 t로 설정된다. 다음 t와 t+p (= 120초 시점) 사이에는 3개의 이벤트 요소가 발생되지 않으므로 이 시간(t 내지 t+p) 내에는 이벤트가 탐지되지 않은 것으로 결정한다. 위 과정을 반복하면, 이벤트 요소 6, 7, 8 및 9 중의 적어도 하나의 이벤트 요소가 탐지된 이벤트로 결정되거나 180초 시점이 이벤트 발생 시점으로 결정되고, 그 180초 시점이 스케줄 시작 시각 t로 새로이 갱신된다. 180초 내지 240초 시간 구간에는 이벤트 요소가 발생하지 않았으므로 이벤트가 탐지되지 않은 것으로 결정되며, 240초 내지 300초 시간 구간에는 3개 미만의 이벤트 요소가 발생하였으므로 역시 이벤트가 탐지되지 않은 것으로 결정된다. 결과적으로, 0초 시점 내지 60초 시점 사이와 120초 시점 내지 180초 시점 사이에서만 이벤트가 발생된 것으로 결정된다.
이 같이, 단계(S200)에서 실시간으로 감지된 이벤트 요소들로부터 이벤트를 탐지할 수 있도록 하는 전술된 7 가지의 탐지 옵션은 단독으로, 또는 서로 조합되어 이용되거나 또 다른 탐지 옵션과 함께 이용될 수도 있음을 본 발명 기술분야의 통상의 기술자는 이해할 수 있을 것이다.
다시 도 2를 참조하면, 본 발명에 따른 실시간성 이벤트 탐지 방법은, 서버(100)가, 탐지 정책 관리 데이터베이스(200)로 하여금 상기 탐지된 이벤트를 보유하도록 지원하는 단계(S300)를 더 포함할 수도 있다. 다만, 이는 필수적인 사항은 아닐 것인바, 상기 탐지된 이벤트를 표시 및/또는 보유함에 있어서 다양한 변형례가 있을 수 있다.
본 발명의 전술한 모든 실시예들에 걸쳐, 메모리 상에 있는 데이터를 처리함으로써, 클러스터 구조에서 탐지 대상인 이벤트를 중복 없이, 정확하게, 그리고 실시간에 가깝게 탐지할 수 있는 효과가 있다.
상기 실시예들로서 여기에서 설명된 기술의 이점은, 입력 데이터의 양에 따라 부하가 많이 걸리는 클러스터 모듈의 클러스터 노드를 한계 없이 확장시킬 수 있으며, 다양한 탐지 정책을 유연하게 적용, 조합 및 변경하여 중복된 이벤트를 걸러냄으로써 관제의 효율성을 증대시킬 수 있다는 점이다.
위 실시예의 설명에 기초하여 해당 기술분야의 통상의 기술자는, 본 발명이 소프트웨어 및 하드웨어의 결합을 통하여 달성되거나 하드웨어만으로 달성될 수 있다는 점을 명확하게 이해할 수 있다. 본 발명의 기술적 해법의 대상물 또는 선행 기술들에 기여하는 부분들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 통상의 기술자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다. 상기 하드웨어 장치는, 프로그램 명령어를 저장하기 위한 ROM/RAM 등과 같은 메모리와 결합되고 상기 메모리에 저장된 명령어들을 실행하도록 구성되는 CPU나 GPU와 같은 프로세서를 포함할 수 있으며, 외부 장치와 신호를 주고 받을 수 있는 통신부를 포함할 수 있다. 덧붙여, 상기 하드웨어 장치는 개발자들에 의하여 작성된 명령어들을 전달받기 위한 키보드, 마우스, 기타 외부 입력장치를 포함할 수 있다.
이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형을 꾀할 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.

Claims (30)

  1. 미리 정해진 유형의 실시간성 이벤트를 탐지하는 방법에 있어서,
    (a) 서버가, 탐지 정책을 적재(load)하거나 적재하도록 지원하는 단계; 및
    (b) 상기 서버가, 상기 탐지 정책에 따라 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 단계;
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 (a) 단계는,
    상기 서버가, 적어도 하나의 필터링 쓰레드(filtering thread)를 포함하는 클러스터 모듈로 하여금 상기 탐지 정책을 적재하도록 지원하는 것을 특징으로 하며,
    상기 (b) 단계는,
    상기 서버가, 상기 각각의 필터링 쓰레드로 하여금 상기 탐지 정책에 따라 상기 다수의 입력 데이터로부터 이벤트 요소를 감지하도록 지원하고, 이벤트 탐지 모듈이 상기 탐지 정책에 따라 상기 감지된 이벤트 요소의 정보로부터 이벤트를 탐지하거나 탐지하도록 지원하는 것을 특징으로 하는 방법.
  3. 제1항에 있어서,
    (c) 상기 서버가, 상기 탐지된 이벤트를 보유하거나 보유하도록 지원하는 단계를 더 포함하되,
    상기 (c) 단계는,
    상기 서버가, 탐지 정책 관리 데이터베이스로 하여금 상기 탐지된 이벤트를 보유하도록 지원하는 것을 특징으로 하는 방법.
  4. 제3항에 있어서,
    상기 (a) 단계는,
    탐지 정책 변경 사항을 적용하라는 요청이 감지되면, 상기 서버가, 적어도 하나의 필터링 쓰레드(filtering thread)를 포함하는 클러스터 모듈로 하여금 탐지 정책을 적재(load)하도록 지원하고,
    상기 (b) 단계는,
    상기 탐지 정책 변경 사항을 적용하라는 요청이 감지되면, 이벤트 탐지 모듈이 상기 탐지 정책에 따라 상기 감지된 이벤트 요소의 정보로부터 이벤트를 탐지할 수 있도록, 상기 서버가, 상기 이벤트 탐지 모듈로 하여금 상기 탐지 정책을 획득하도록 지원하는 것을 특징으로 하는 방법.
  5. 제1항에 있어서,
    상기 (b) 단계는,
    상기 탐지 정책 중 탐지 옵션이 제1 옵션이면, 상기 서버가, 미리 정해진 기준 시간을 참조로 한 제1 알고리즘에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 것을 특징으로 하되,
    상기 제1 알고리즘에 따른 탐지는,
    (b1-1) 이벤트 요소가 발생됨이 최초로 감지되면, 상기 서버가, 상기 최초로 감지된 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 최초로 감지된 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계;
    (b1-2) 상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과하기 전에 다른 이벤트 요소가 발생됨이 감지되면, 상기 서버가, 상기 감지된 다른 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 상기 상기 감지된 다른 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하고,
    상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과한 이후에 다른 이벤트 요소가 발생됨이 감지되면, 상기 서버가, 상기 감지된 다른 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 감지된 다른 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계
    를 포함하는 방법.
  6. 제1항에 있어서,
    상기 (b) 단계는,
    상기 탐지 정책 중 탐지 옵션이 제2 옵션이면, 상기 서버가, 미리 정해진 기준 시간을 참조로 한 제2 알고리즘에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 것을 특징으로 하되,
    상기 제2 알고리즘에 따른 탐지는,
    (b2-1) 이벤트 요소가 발생됨이 최초로 감지되면, 상기 서버가, 상기 최초로 감지된 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 상기 최초로 감지된 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계;
    (b2-2) 상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과하기 전에 다른 이벤트 요소가 발생됨이 감지되면, 상기 서버가, 상기 감지된 다른 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 감지된 다른 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하고,
    상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과한 이후에 다른 이벤트 요소가 발생됨이 감지되면, 상기 서버가, 상기 감지된 다른 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 상기 감지된 다른 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계
    를 포함하는 방법.
  7. 제1항에 있어서,
    상기 (b) 단계는,
    상기 탐지 정책 중 탐지 옵션이 제3 옵션이면, 상기 서버가, 제3 알고리즘에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 것을 특징으로 하되,
    상기 제3 알고리즘에 따른 탐지는,
    (b3) 이벤트 요소가 발생됨이 감지되면, 상기 서버가, 상기 감지된 이벤트 요소를 탐지된 이벤트로 결정하거나 결정하도록 지원하는 단계
    를 포함하는 방법.
  8. 제1항에 있어서,
    상기 (b) 단계는,
    상기 탐지 정책 중 탐지 옵션이 제4 옵션이면, 상기 서버가, 미리 정해진 기준 시간 및 미리 정해진 임계치 n을 참조로 한 제4 알고리즘에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 것을 특징으로 하되,
    상기 제4 알고리즘에 따른 탐지는,
    (b4-1) 상기 기준 시간 이내의 연이은 n개의 이벤트 요소가 발생됨이 최초로 감지되면, 상기 서버가, 상기 최초로 감지된 n개의 이벤트 요소 중 미리 정해진 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 최초로 감지된 n개의 이벤트 요소 중 m번째 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계;
    (b4-2) 상기 기준 이벤트 요소의 발생 시각 후에 연이은 n개의 다른 이벤트 요소가 발생됨이 감지되고, 상기 감지된 n개의 다른 이벤트 요소 모두가 상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과하기 전에 발생한 것이라면, 상기 서버가, 상기 감지된 n개의 다른 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 상기 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하고,
    상기 기준 이벤트 요소의 발생 시각 후에 연이은 n개의 다른 이벤트 요소가 발생됨이 감지되고, 상기 감지된 n개의 다른 이벤트 요소 중 적어도 하나가 상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과한 이후에 발생한 것이라면, 상기 서버가, 상기 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 결정하는 프로세스를 수행하거나 수행하도록 지원하는 단계
    를 포함하는 방법.
  9. 제1항에 있어서,
    상기 (b) 단계는,
    상기 탐지 정책 중 탐지 옵션이 제5 옵션이면, 상기 서버가, 미리 정해진 기준 시간 및 미리 정해진 임계치 n을 참조로 한 제5 알고리즘에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 것을 특징으로 하되,
    상기 제5 알고리즘에 따른 탐지는,
    (b5-1) 상기 기준 시간 이내의 연이은 n개의 이벤트 요소가 발생됨이 최초로 감지되면, 상기 서버가, 상기 최초로 감지된 n개의 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 상기 최초로 감지된 n개의 이벤트 요소 중 m번째 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계;
    (b5-2) 상기 기준 이벤트 요소의 발생 시각 후에 연이은 n개의 다른 이벤트 요소가 발생됨이 감지되고, 상기 감지된 n개의 다른 이벤트 요소 모두가 상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과하기 전에 발생한 것이라면, 상기 서버가, 상기 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 결정하는 프로세스를 수행하거나 수행하도록 지원하고,
    상기 기준 이벤트 요소의 발생 시각 후에 연이은 n개의 다른 이벤트 요소가 발생됨이 감지되고, 상기 감지된 n개의 다른 이벤트 요소 중 적어도 하나가 상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과한 이후에 발생한 것이라면, 상기 서버가, 상기 감지된 n개의 다른 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 상기 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계
    를 포함하는 방법.
  10. 제1항에 있어서,
    상기 (b) 단계는,
    상기 탐지 정책 중 탐지 옵션이 제6 옵션이면, 상기 서버가, 미리 정해진 기준 시간 및 미리 정해진 임계치 n을 참조로 한 제6 알고리즘에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 것을 특징으로 하되,
    상기 제6 알고리즘에 따른 탐지는,
    (b6-1) 상기 기준 시간 이내의 연이은 n개의 이벤트 요소가 발생됨이 최초로 감지되면, 상기 서버가, 상기 최초로 감지된 n개의 이벤트 요소 중 미리 정해진 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 최초로 감지된 n개의 이벤트 요소 중 n번째 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계;
    (b6-2) 상기 기준 이벤트 요소의 발생 시각 후에 다른 이벤트 요소가 발생됨이 감지되고, 상기 감지된 다른 이벤트 요소를 n번째 이벤트 요소로 하는 연이은 n개의 이벤트 요소 모두가 상기 기준 이벤트 요소의 발생 시각 후에 발생한 것이고, 상기 연이은 n개의 이벤트 요소 중 1번째 이벤트 요소와 n번째 이벤트 요소 사이의 발생 시각의 차이가 기준 시간에 포함된다면, 상기 서버가 상기 연이은 n개의 이벤트 요소 중 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 연이은 n개의 이벤트 요소 중 n번째 이벤트 요소를 상기 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 단계
    를 포함하는 방법.
  11. 제1항에 있어서,
    상기 (b) 단계는,
    상기 탐지 정책 중 탐지 옵션이 제7 옵션이면, 상기 서버가, 미리 정해진 기준 시간 p 및 미리 정해진 임계치 n을 참조로 한 제7 알고리즘에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 것을 특징으로 하되,
    상기 제7 알고리즘에 따른 탐지는,
    (b7-1) 상기 서버가, 상기 탐지가 시작되는 시각인 탐지 시작 시각 t0를 스케줄 시작 시각 t로 설정하거나 설정하도록 지원하는 단계; 및
    (b7-2) 상기 스케줄 시작 시각 t로부터 상기 기준 시간 p가 경과한 경우에,
    t로부터 t+p까지 적어도 n개의 이벤트 요소가 발생됨이 감지되면, 상기 서버가, 상기 감지된 적어도 n개의 이벤트 요소 중 적어도 하나의 이벤트 요소를 탐지된 이벤트로 결정하거나 t+p 시점을 이벤트가 발생한 시점으로 결정하는 프로세스 및 t+p를 새로운 상기 스케줄 시작 시각 t로 설정하는 프로세스를 수행하거나 수행하도록 지원하고,
    t로부터 t+p까지 n개의 이벤트 요소가 발생되지 않음이 감지되면, 상기 서버가, t로부터 t+p까지 사이의 시간 동안 이벤트가 탐지되지 않은 것으로 결정하고 t+p를 새로운 상기 스케줄 시작 시각 t로 설정하거나 설정하도록 지원하는 단계
    를 포함하는 방법.
  12. 제1항에 있어서,
    상기 (a) 단계는,
    상기 서버가, 검증용 입력 데이터를 이용하여 상기 적재된 탐지 정책의 무결성을 판정하는 프로세스를 더 수행하거나 수행하도록 지원하는 것을 특징으로 하는 방법.
  13. 제1항에 있어서,
    상기 입력 데이터는 텍스트(text) 또는 바이너리(binary) 데이터 중 적어도 하나를 포함하는 것을 특징으로 하는 방법.
  14. 제1항에 있어서,
    상기 탐지 정책은 입력 데이터 중에서 이벤트 요소를 탐지하는 규칙을 쿼리(query)로 표현한 탐지 룰 셋 쿼리(detection rule set query)를 포함하고,
    상기 (b) 단계는,
    상기 서버가, 상기 다수의 입력 데이터 중에서 상기 탐지 룰 셋 쿼리에 해당되는 입력 데이터를 이벤트 요소로 결정하거나 결정하도록 지원하는 것을 특징으로 하는 방법.
  15. 제1항에 있어서,
    상기 탐지 정책은 유일 필드를 포함하거나 유일 필드 및 유일 필드 임계치 x를 포함하고,
    상기 (b) 단계는,
    상기 유일 필드 임계치가 상기 탐지 정책에 포함된 경우에, 상기 서버가, 상기 유일 필드의 필드 값이 동일한 최대 x개의 입력 데이터들을 하나의 입력 데이터인 것으로 필터링(filtering)하거나 필터링하도록 지원하고,
    상기 유일 필드 임계치가 상기 탐지 정책에 포함되지 않은 경우에, 상기 서버가, 상기 유일 필드의 필드 값이 동일한 입력 데이터들을 하나의 입력 데이터인 것으로 필터링하거나 필터링하도록 지원하는 것을 특징으로 하는 방법.
  16. 미리 정해진 유형의 실시간성 이벤트를 탐지하는 서버에 있어서,
    탐지 정책을 적재(load)하거나 적재하도록 지원하는 통신부; 및
    상기 탐지 정책에 따라 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 프로세서;
    를 포함하는 서버.
  17. 제16항에 있어서,
    상기 통신부는,
    적어도 하나의 필터링 쓰레드(filtering thread)를 포함하는 클러스터 모듈로 하여금 상기 탐지 정책을 적재하도록 지원하는 것을 특징으로 하며,
    상기 프로세서는,
    상기 각각의 필터링 쓰레드로 하여금 상기 탐지 정책에 따라 상기 다수의 입력 데이터로부터 이벤트 요소를 감지하도록 지원하고, 이벤트 탐지 모듈이 상기 탐지 정책에 따라 상기 감지된 이벤트 요소의 정보로부터 이벤트를 탐지하거나 탐지하도록 지원하는 것을 특징으로 하는 서버.
  18. 제16항에 있어서,
    상기 프로세서는,
    탐지 정책 관리 데이터베이스로 하여금 상기 탐지된 이벤트를 보유하도록 지원하는 것을 특징으로 하는 서버.
  19. 제18항에 있어서,
    상기 프로세서는,
    탐지 정책 변경 사항을 적용하라는 요청이 감지되면, 적어도 하나의 필터링 쓰레드(filtering thread)를 포함하는 클러스터 모듈로 하여금 탐지 정책을 적재(load)하도록 지원하고,
    상기 탐지 정책 변경 사항을 적용하라는 요청이 감지되면, 이벤트 탐지 모듈이 상기 탐지 정책에 따라 상기 감지된 이벤트 요소의 정보로부터 이벤트를 탐지할 수 있도록, 상기 이벤트 탐지 모듈로 하여금 상기 탐지 정책을 획득하도록 지원하는 것을 특징으로 하는 방법.
  20. 제16항에 있어서,
    상기 프로세서는,
    상기 탐지 정책 중 탐지 옵션이 제1 옵션이면, 미리 정해진 기준 시간을 참조로 한 제1 알고리즘에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 것을 특징으로 하되,
    상기 제1 알고리즘에 따른 탐지는,
    (i) 이벤트 요소가 발생됨이 최초로 감지되면, 상기 프로세서가, 상기 최초로 감지된 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 최초로 감지된 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하며,
    (ii) 상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과하기 전에 다른 이벤트 요소가 발생됨이 감지되면, 상기 프로세서가, 상기 감지된 다른 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 상기 상기 감지된 다른 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하고,
    상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과한 이후에 다른 이벤트 요소가 발생됨이 감지되면, 상기 프로세서가, 상기 감지된 다른 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 감지된 다른 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 것을 특징으로 하는 서버.
  21. 제16항에 있어서,
    상기 프로세서는,
    상기 탐지 정책 중 탐지 옵션이 제2 옵션이면, 미리 정해진 기준 시간을 참조로 한 제2 알고리즘에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 것을 특징으로 하되,
    상기 제2 알고리즘에 따른 탐지는,
    (i) 이벤트 요소가 발생됨이 최초로 감지되면, 상기 프로세서가, 상기 최초로 감지된 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 상기 최초로 감지된 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하며,
    (ii) 상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과하기 전에 다른 이벤트 요소가 발생됨이 감지되면, 상기 프로세서가, 상기 감지된 다른 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 감지된 다른 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하고,
    상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과한 이후에 다른 이벤트 요소가 발생됨이 감지되면, 상기 프로세서가, 상기 감지된 다른 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 상기 감지된 다른 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 것을 특징으로 하는 서버.
  22. 제16항에 있어서,
    상기 프로세서는,
    상기 탐지 정책 중 탐지 옵션이 제3 옵션이면, 제3 알고리즘에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 것을 특징으로 하되,
    상기 제3 알고리즘에 따른 탐지는,
    이벤트 요소가 발생됨이 감지되면, 상기 프로세서가, 상기 감지된 이벤트 요소를 탐지된 이벤트로 결정하거나 결정하도록 지원하는 것을 특징으로 하는 서버.
  23. 제16항에 있어서,
    상기 프로세서는,
    상기 탐지 정책 중 탐지 옵션이 제4 옵션이면, 미리 정해진 기준 시간 및 미리 정해진 임계치 n을 참조로 한 제4 알고리즘에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 것을 특징으로 하되,
    상기 제4 알고리즘에 따른 탐지는,
    (i) 상기 기준 시간 이내의 연이은 n개의 이벤트 요소가 발생됨이 최초로 감지되면, 상기 프로세서가, 상기 최초로 감지된 n개의 이벤트 요소 중 미리 정해진 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 최초로 감지된 n개의 이벤트 요소 중 m번째 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하며,
    (ii) 상기 기준 이벤트 요소의 발생 시각 후에 연이은 n개의 다른 이벤트 요소가 발생됨이 감지되고, 상기 감지된 n개의 다른 이벤트 요소 모두가 상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과하기 전에 발생한 것이라면, 상기 프로세서가, 상기 감지된 n개의 다른 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 상기 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하고,
    상기 기준 이벤트 요소의 발생 시각 후에 연이은 n개의 다른 이벤트 요소가 발생됨이 감지되고, 상기 감지된 n개의 다른 이벤트 요소 중 적어도 하나가 상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과한 이후에 발생한 것이라면, 상기 프로세서가, 상기 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 결정하는 프로세스를 수행하거나 수행하도록 지원하는 것을 특징으로 하는 서버.
  24. 제16항에 있어서,
    상기 프로세서는,
    상기 탐지 정책 중 탐지 옵션이 제5 옵션이면, 미리 정해진 기준 시간 및 미리 정해진 임계치 n을 참조로 한 제5 알고리즘에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 것을 특징으로 하되,
    상기 제5 알고리즘에 따른 탐지는,
    (i) 상기 기준 시간 이내의 연이은 n개의 이벤트 요소가 발생됨이 최초로 감지되면, 상기 프로세서가, 상기 최초로 감지된 n개의 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 상기 최초로 감지된 n개의 이벤트 요소 중 m번째 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하며,
    (ii) 상기 기준 이벤트 요소의 발생 시각 후에 연이은 n개의 다른 이벤트 요소가 발생됨이 감지되고, 상기 감지된 n개의 다른 이벤트 요소 모두가 상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과하기 전에 발생한 것이라면, 상기 프로세서가, 상기 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 결정하는 프로세스를 수행하거나 수행하도록 지원하고,
    상기 기준 이벤트 요소의 발생 시각 후에 연이은 n개의 다른 이벤트 요소가 발생됨이 감지되고, 상기 감지된 n개의 다른 이벤트 요소 중 적어도 하나가 상기 기준 이벤트 요소의 발생 시각으로부터 상기 기준 시간을 경과한 이후에 발생한 것이라면, 상기 프로세서가, 상기 감지된 n개의 다른 이벤트 요소를 탐지된 이벤트로 결정하지 않는 프로세스 및 상기 감지된 n개의 다른 이벤트 요소 중 m번째 이벤트 요소를 새로이 갱신된 상기 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 것을 특징으로 하는 서버.
  25. 제16항에 있어서,
    상기 프로세서는,
    상기 탐지 정책 중 탐지 옵션이 제6 옵션이면, 미리 정해진 기준 시간 및 미리 정해진 임계치 n을 참조로 한 제6 알고리즘에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 것을 특징으로 하되,
    상기 제6 알고리즘에 따른 탐지는,
    (i) 상기 기준 시간 이내의 연이은 n개의 이벤트 요소가 발생됨이 최초로 감지되면, 상기 프로세서가, 상기 최초로 감지된 n개의 이벤트 요소 중 미리 정해진 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 최초로 감지된 n개의 이벤트 요소 중 n번째 이벤트 요소를 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하며,
    (ii) 상기 기준 이벤트 요소의 발생 시각 후에 다른 이벤트 요소가 발생됨이 감지되고, 상기 감지된 다른 이벤트 요소를 n번째 이벤트 요소로 하는 연이은 n개의 이벤트 요소 모두가 상기 기준 이벤트 요소의 발생 시각 후에 발생한 것이고, 상기 연이은 n개의 이벤트 요소 중 1번째 이벤트 요소와 n번째 이벤트 요소 사이의 발생 시각의 차이가 기준 시간에 포함된다면, 상기 프로세서가, 상기 연이은 n개의 이벤트 요소 중 m번째 이벤트 요소를 탐지된 이벤트로 결정하는 프로세스 및 상기 연이은 n개의 이벤트 요소 중 n번째 이벤트 요소를 상기 기준 이벤트 요소로 설정하는 프로세스를 수행하거나 수행하도록 지원하는 것을 특징으로 하는 서버.
  26. 제16항에 있어서,
    상기 프로세서는,
    상기 탐지 정책 중 탐지 옵션이 제7 옵션이면, 미리 정해진 기준 시간 p 및 미리 정해진 임계치 n을 참조로 한 제7 알고리즘에 따라 상기 다수의 입력 데이터로부터 이벤트를 실시간으로 탐지하거나 탐지하도록 지원하는 것을 특징으로 하되,
    상기 제7 알고리즘에 따른 탐지는,
    (i) 상기 프로세서가, 상기 탐지가 시작되는 시각인 탐지 시작 시각 t0를 스케줄 시작 시각 t로 설정하거나 설정하도록 지원하며,
    (ii) 상기 스케줄 시작 시각 t로부터 상기 기준 시간 p가 경과한 경우에,
    t로부터 t+p까지 적어도 n개의 이벤트 요소가 발생됨이 감지되면, 상기 프로세서가, 상기 감지된 적어도 n개의 이벤트 요소 중 적어도 하나의 이벤트 요소를 탐지된 이벤트로 결정하거나 t+p 시점을 이벤트가 발생한 시점으로 결정하는 프로세스 및 t+p를 새로운 상기 스케줄 시작 시각 t로 설정하는 프로세스를 수행하거나 수행하도록 지원하고,
    t로부터 t+p까지 n개의 이벤트 요소가 발생되지 않음이 감지되면, 상기 프로세서가, t로부터 t+p까지 사이의 시간 동안 이벤트가 탐지되지 않은 것으로 결정하고 t+p를 새로운 상기 스케줄 시작 시각 t로 설정하거나 설정하도록 지원하는 것을 특징으로 하는 서버.
  27. 제16항에 있어서,
    상기 프로세서는,
    검증용 입력 데이터를 이용하여 상기 적재된 탐지 정책의 무결성을 판정하는 프로세스를 더 수행하거나 수행하도록 지원하는 것을 특징으로 하는 서버.
  28. 제16항에 있어서,
    상기 입력 데이터는 텍스트(text) 또는 바이너리(binary) 데이터 중 적어도 하나를 포함하는 것을 특징으로 하는 서버.
  29. 제16항에 있어서,
    상기 탐지 정책은 입력 데이터 중에서 이벤트 요소를 탐지하는 규칙을 쿼리(query)로 표현한 탐지 룰 셋 쿼리(detection rule set query)를 포함하고,
    상기 프로세서는,
    상기 다수의 입력 데이터 중에서 상기 탐지 룰 셋 쿼리에 해당되는 입력 데이터를 이벤트 요소로 결정하거나 결정하도록 지원하는 것을 특징으로 하는 서버.
  30. 제16항에 있어서,
    상기 탐지 정책은 유일 필드를 포함하거나 유일 필드 및 유일 필드 임계치 x를 포함하고,
    상기 프로세서는,
    상기 유일 필드 임계치가 상기 탐지 정책에 포함된 경우에, 상기 유일 필드의 필드 값이 동일한 최대 x개의 입력 데이터들을 하나의 입력 데이터인 것으로 필터링(filtering)하거나 필터링하도록 지원하고,
    상기 유일 필드 임계치가 상기 탐지 정책에 포함되지 않은 경우에, 상기 유일 필드의 필드 값이 동일한 입력 데이터들을 하나의 입력 데이터인 것으로 필터링하거나 필터링하도록 지원하는 것을 특징으로 하는 서버.
PCT/KR2016/013046 2016-04-26 2016-11-11 실시간성 이벤트를 탐지하는 방법 및 이를 이용한 서버 WO2017188535A1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US15/514,874 US10097570B2 (en) 2016-04-26 2016-11-11 Method for detecting real-time event and server using the same

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020160051093A KR101695278B1 (ko) 2016-04-26 2016-04-26 실시간성 이벤트를 탐지하는 방법 및 이를 이용한 서버
KR10-2016-0051093 2016-04-26

Publications (1)

Publication Number Publication Date
WO2017188535A1 true WO2017188535A1 (ko) 2017-11-02

Family

ID=57989893

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2016/013046 WO2017188535A1 (ko) 2016-04-26 2016-11-11 실시간성 이벤트를 탐지하는 방법 및 이를 이용한 서버

Country Status (3)

Country Link
US (1) US10097570B2 (ko)
KR (1) KR101695278B1 (ko)
WO (1) WO2017188535A1 (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102238694B1 (ko) * 2015-10-26 2021-04-09 에스케이텔레콤 주식회사 일괄 처리 방식의 시스템에서의 실시간 데이터 처리 장치 및 방법
KR101852610B1 (ko) * 2017-11-16 2018-04-27 (주)시큐레이어 Ai 학습 기반 실시간 분석 시스템을 이용한 자원 사용 방법 및 이를 사용한 매니지먼트 서버
KR101949338B1 (ko) 2018-11-13 2019-02-18 (주)시큐레이어 기계 학습 모델에 기반하여 페이로드로부터 sql 인젝션을 탐지하는 방법 및 이를 이용한 장치
KR101974091B1 (ko) * 2018-11-14 2019-04-30 (주)시큐레이어 머신러닝 기반 쓰레드풀을 관리하는 방법 및 이를 사용한 컴퓨팅 장치
KR101987031B1 (ko) 2018-11-22 2019-06-10 (주)시큐레이어 네트워크 관제를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치
KR101986738B1 (ko) 2018-11-28 2019-06-07 (주)시큐레이어 네트워크 관제 서비스를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치
CN115033462B (zh) * 2022-08-09 2023-01-10 苏州浪潮智能科技有限公司 存储服务器启动检测方法、系统、装置、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030056652A (ko) * 2001-12-28 2003-07-04 한국전자통신연구원 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법
KR100684602B1 (ko) * 2006-05-16 2007-02-22 어울림정보기술주식회사 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법
KR101134217B1 (ko) * 2005-06-13 2012-04-06 주식회사 엘지씨엔에스 보안정책의 암호화 방법 및 그 방법을 구현하는침입탐지시스템

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8090816B1 (en) * 2002-02-07 2012-01-03 Mcafee, Inc. System and method for real-time triggered event upload
US7251829B1 (en) * 2002-10-26 2007-07-31 Type80 Security Software, Inc. Data analysis and security system
US7376969B1 (en) * 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US8127359B2 (en) * 2003-04-11 2012-02-28 Samir Gurunath Kelekar Systems and methods for real-time network-based vulnerability assessment
NO20050564D0 (no) * 2005-02-02 2005-02-02 Tore Lysemose Hansen Programmonitor for a identifisere uautorisert inntrenging i datasystemer
US20070100878A1 (en) * 2005-10-28 2007-05-03 Nfr Security, Inc. Group sorted consolidation of data in an intrusion management system
US7461036B2 (en) * 2006-01-18 2008-12-02 International Business Machines Corporation Method for controlling risk in a computer security artificial neural network expert system
US9779235B2 (en) * 2007-10-17 2017-10-03 Sukamo Mertoguno Cognizant engines: systems and methods for enabling program observability and controlability at instruction level granularity
EP2332065A4 (en) * 2008-07-31 2011-09-07 Juma Technology Corp PUBLISH SUBSCRIBE PROCEDURE FOR REAL-TIME MONITORING OF EVENTS IN A SYSTEM FOR MANAGING MULTIPLE UNBELIEVABLE NETWORKS
US20100049564A1 (en) * 2008-08-25 2010-02-25 Lundy Lewis Method and Apparatus for Real-Time Automated Impact Assessment
US9270690B2 (en) * 2010-07-21 2016-02-23 Seculert Ltd. Network protection system and method
RU2477929C2 (ru) * 2011-04-19 2013-03-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ предотвращения инцидентов безопасности на основании рейтингов опасности пользователей
US20130291106A1 (en) * 2011-11-23 2013-10-31 United States Government, As Represented By The Secretary Of The Navy Enterprise level information alert system
US9088606B2 (en) * 2012-07-05 2015-07-21 Tenable Network Security, Inc. System and method for strategic anti-malware monitoring
US9563663B2 (en) * 2012-09-28 2017-02-07 Oracle International Corporation Fast path evaluation of Boolean predicates
US20140109223A1 (en) * 2012-10-17 2014-04-17 At&T Intellectual Property I, L.P. Providing a real-time anomalous event detection and notification service in a wireless network
US8826431B2 (en) * 2012-11-20 2014-09-02 Symantec Corporation Using telemetry to reduce malware definition package size
US9386034B2 (en) * 2013-12-17 2016-07-05 Hoplite Industries, Inc. Behavioral model based malware protection system and method
US10439919B2 (en) * 2014-04-11 2019-10-08 Brite:Bill Limited Real time event monitoring and analysis system
CN105204825B (zh) * 2014-06-05 2020-07-14 腾讯科技(深圳)有限公司 终端系统安全监控的方法和装置
SG10201407100PA (en) * 2014-10-30 2016-05-30 Nec Asia Pacific Pte Ltd System For Monitoring Event Related Data
US10652103B2 (en) * 2015-04-24 2020-05-12 Goldman Sachs & Co. LLC System and method for handling events involving computing systems and networks using fabric monitoring system
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10148690B2 (en) * 2015-12-21 2018-12-04 Symantec Corporation Accurate real-time identification of malicious BGP hijacks
US10846610B2 (en) * 2016-02-05 2020-11-24 Nec Corporation Scalable system and method for real-time predictions and anomaly detection

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030056652A (ko) * 2001-12-28 2003-07-04 한국전자통신연구원 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법
KR101134217B1 (ko) * 2005-06-13 2012-04-06 주식회사 엘지씨엔에스 보안정책의 암호화 방법 및 그 방법을 구현하는침입탐지시스템
KR100684602B1 (ko) * 2006-05-16 2007-02-22 어울림정보기술주식회사 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
BEACH, AARON ET AL.: "Network Traffic Anomaly Detection and Characterization", 20 March 2005 (2005-03-20), pages 1 - 7, XP055435725 *
VARALAKSHMI P.: "Trust Management for Grid Environmen t", FACULTY OF INFORMATION AND COMMUNICATION ENGINEERING ANNA UNIVERSITY CHENNAI, April 2009 (2009-04-01), pages 131 - 168, XP055435723 *

Also Published As

Publication number Publication date
US20180191749A1 (en) 2018-07-05
KR101695278B1 (ko) 2017-01-23
US10097570B2 (en) 2018-10-09

Similar Documents

Publication Publication Date Title
WO2017188535A1 (ko) 실시간성 이벤트를 탐지하는 방법 및 이를 이용한 서버
Breier et al. Anomaly detection from log files using data mining techniques
JP6596596B2 (ja) ドメイン名サービストラフィック分析を介してマルウェア感染を検出するためのシステム及び方法
JP2015164244A (ja) 監視プログラム、監視方法および監視装置
WO2014189190A1 (ko) 데이터 부재 태깅 기반의 정보 검색 시스템 및 방법
CN105743880A (zh) 一种数据分析系统
EP3474174A1 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
WO2019212111A1 (ko) 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체
TW200910836A (en) Monitoring of computer network resources having service level objectives
US10015768B1 (en) Systems and methods for locating unrecognized computing devices
WO2017131355A1 (ko) 시스템 환경 및 사용자 행동 분석 기반의 자기 방어 보안 장치와 이의 작동 방법
CN111183620B (zh) 入侵调查
WO2013168947A1 (ko) 모니터링 자원의 사용량 표현 방법, 컴퓨팅 장치 및 그 방법을 실행시키기 위한 프로그램을 기록한 기록 매체
WO2023153558A1 (ko) 구조화 문서에 포함된 자원들에 관한 권한을 관리하는 방법 및 이를 이용한 장치
US10452841B1 (en) Modeling malicious behavior that occurs in the absence of users
WO2016064024A1 (ko) 이상 접속 검출 장치 및 방법
Fatemi et al. Threat hunting in windows using big security log data
US10114947B1 (en) Systems and methods for logging processes within containers
US11003772B2 (en) System and method for adapting patterns of malicious program behavior from groups of computer systems
Kannan et al. A novel cloud intrusion detection system using feature selection and classification
TW201822054A (zh) 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品
CN103139169A (zh) 基于网络行为的病毒检测系统和方法
RU2738334C1 (ru) Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент
WO2013125867A1 (ko) 컴퓨터 시스템과, 파일 및 행위 기반 복합룰 작성 시스템
CN116595523A (zh) 基于动态编排的多引擎文件检测方法、系统、设备及介质

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 15514874

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16900608

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 16900608

Country of ref document: EP

Kind code of ref document: A1