초록 ▼

본 발명은 보안로그를 인공지능적으로 분석하도록 머신러닝기법을 이용하여 사용자행위를 분석하고 분석된 데이터를 토대로 이상징후를 사전에 포착하고 빠른 시간내에 효과적으로 대응하도록 한 지능형 보안로그 분석방법에 관한 것으로, 분석대상을 시스템로그, 네트워크로그, 콘텐츠로그, 어플리케이션로그, 기타사항으로 구분하고, 상기 시스템로그는 유닉스, 리눅스, 윈도우에 대한 시스템로그, Web/WAS에 대한 시스템로그 및 어플리케이션로그, DBMS에 대한 시스템로그, 시스템접근이력, 사용명령어 이력, DB접속이력, 쿼리 및 결과이력, 쿼리실행 및

본 발명은 보안로그를 인공지능적으로 분석하도록 머신러닝기법을 이용하여 사용자행위를 분석하고 분석된 데이터를 토대로 이상징후를 사전에 포착하고 빠른 시간내에 효과적으로 대응하도록 한 지능형 보안로그 분석방법에 관한 것으로, 분석대상을 시스템로그, 네트워크로그, 콘텐츠로그, 어플리케이션로그, 기타사항으로 구분하고, 상기 시스템로그는 유닉스, 리눅스, 윈도우에 대한 시스템로그, Web/WAS에 대한 시스템로그 및 어플리케이션로그, DBMS에 대한 시스템로그, 시스템접근이력, 사용명령어 이력, DB접속이력, 쿼리 및 결과이력, 쿼리실행 및 차단이력을 분석대상으로 정의하고, 상기 네트워크로그는 방화벽(firewall), IPS, IDS, Web FW WIPS에 대한 허용이력/탐지이력/차단이력, 공격(attack)/대상(target) IP에 대한 트래픽현황, 공격이벤트, URL 필터링을 위한 유해사이트 차단이력, 네트워크 액세스 컨트롤을 위한 센서, 노드정보, 차단정책 및 대상정보, 인증 및 패치관리, 안티디도스(Anti-Ddos)를 위한 트래픽현황, 탐지차단이력, 라우터와 스위치를 위한 트래픽, 시스템로그, VPN을 위한 사용자인증이력, 트래픽, 시스템로그를 분석대상으로 정의하며, 상기 콘텐츠로그는 DRM/DLP를 위한 사용자인증이력, 문서사용이력, 문서암호화/복호화이력, 매체보안을 위한 USB를 비롯한 매체접근이력, 매체 읽기/쓰기 이력, 매체 허용/차단 이력, 출력물과 팩스 보안을 위한 출력 및 팩스 전송이력, 개인정보탐지를 위한 개인정보보유여부, 모바일보안을 위한 모바일장치 내 업무용 데이터저장방지 여부를 분석대상으로 정의하며, 상기 어플리케이션로그는 웹어플리케이션을 위한 웹접근이력, 오류 및 디버그 로그, 컨테이너로그, 바이러스/ATP/웹쉘 차단을 위한 악성코드차단 및 탐지 이력, 실시간 감시 실행여부, 스캔이력, OTP, 생체인증, PKI, SSO를 위한 사용자 인증이력, 웹과 네트워크 취약점 점검을 위한 취약점 점검결과 이력, 액티브 디렉토리(Active Directory)를 위한 PC로그인, 인증 이력, 소프트웨어 현황, WSUS 현황을 분석대상으로 정의하며, 상기 기타사항은 인사정보, 조직정보, 그룹웨어, ERP와 같은 업무시스템, 물리보안을 위한 게이트웨이, 방문자등록, 인력관리를 위한 퇴직자 및 퇴직예정자 정보, 협력사 인원정보, 통합계정 및 권한정보, 외부위협정보를 위한 KISA, CERT, 금보원, 보안업체서비스를 분석대상으로 정의하는 단계 A1; 상기 단계 A1에서 정의된 분석대상으로부터 데이터를 수집하는 데이터수집장치를 설치하고, 상기 데이터수집장치에 네트워크와 통신(TCP/UDP)을 연결시키며, 상기 상기 데이터수집장치에 데이터베이스(DB)를 연결하여 연동되도록 하며, 시스템로그 및 SNMP(simple network management protocol)를 적용시키며,LDAP(Lightweight Directory Access Protocol)와 같은 프로토콜을 적용시킴으로써, 상기 데이터수집장치에 의해서 데이터를 수집하는 단계 B1을 포함하는 것을 특징으로 한다.

대표청구항 ▼

로그분석장치는 분석대상을 시스템로그, 네트워크로그, 콘텐츠로그, 어플리케이션로그, 기타사항으로 구분하고, 상기 로그분석장치에 의해서 수행되는 상기 시스템로그는 유닉스, 리눅스, 윈도우에 대한 시스템로그, Web/WAS에 대한 시스템로그 및 어플리케이션로그, DBMS에 대한 시스템로그, 시스템접근이력, 사용명령어 이력, DB접속이력, 쿼리 및 결과이력, 쿼리실행 및 차단이력을 분석대상으로 정의하고, 상기 로그분석장치에 의해서 수행되는 상기 네트워크로그는 방화벽(firewall), IPS, IDS, Web FW WIPS에 대한 허용이력

로그분석장치는 분석대상을 시스템로그, 네트워크로그, 콘텐츠로그, 어플리케이션로그, 기타사항으로 구분하고, 상기 로그분석장치에 의해서 수행되는 상기 시스템로그는 유닉스, 리눅스, 윈도우에 대한 시스템로그, Web/WAS에 대한 시스템로그 및 어플리케이션로그, DBMS에 대한 시스템로그, 시스템접근이력, 사용명령어 이력, DB접속이력, 쿼리 및 결과이력, 쿼리실행 및 차단이력을 분석대상으로 정의하고, 상기 로그분석장치에 의해서 수행되는 상기 네트워크로그는 방화벽(firewall), IPS, IDS, Web FW WIPS에 대한 허용이력/탐지이력/차단이력, 공격(attack)/대상(target) IP에 대한 트래픽현황, 공격이벤트, URL 필터링을 위한 유해사이트 차단이력, 네트워크 액세스 컨트롤을 위한 센서, 노드정보, 차단정책 및 대상정보, 인증 및 패치관리, 안티디도스(Anti-Ddos)를 위한 트래픽현황, 탐지차단이력, 라우터와 스위치를 위한 트래픽, 시스템로그, VPN을 위한 사용자인증이력, 트래픽, 시스템로그를 분석대상으로 정의하며,상기 로그분석장치에 의해서 수행되는 상기 콘텐츠로그는 DRM/DLP를 위한 사용자인증이력, 문서사용이력, 문서암호화/복호화이력, 매체보안을 위한 USB를 비롯한 매체접근이력, 매체 읽기/쓰기 이력, 매체 허용/차단 이력, 출력물과 팩스 보안을 위한 출력 및 팩스 전송이력, 개인정보탐지를 위한 개인정보보유여부, 모바일보안을 위한 모바일장치 내 업무용 데이터저장방지 여부를 분석대상으로 정의하며,상기 로그분석장치에 의해서 수행되는 상기 어플리케이션로그는 웹어플리케이션을 위한 웹접근이력, 오류 및 디버그 로그, 컨테이너로그, 바이러스/ATP/웹쉘 차단을 위한 악성코드차단 및 탐지 이력, 실시간 감시 실행여부, 스캔이력, OTP, 생체인증, PKI, SSO를 위한 사용자 인증이력, 웹과 네트워크 취약점 점검을 위한 취약점 점검결과 이력, 액티브 디렉토리(Active Directory)를 위한 PC로그인, 인증 이력, 소프트웨어 현황, WSUS 현황을 분석대상으로 정의하며,상기 로그분석장치에 의해서 수행되는 상기 기타사항은 인사정보, 조직정보, 그룹웨어, ERP와 같은 업무시스템, 물리보안을 위한 게이트웨이, 방문자등록, 인력관리를 위한 퇴직자 및 퇴직예정자 정보, 협력사 인원정보, 통합계정 및 권한정보, 외부위협정보를 위한 KISA, CERT, 금보원, 보안업체서비스를 분석대상으로 정의하는 단계 A1;상기 단계 A1에서 정의된 분석대상으로부터 데이터를 수집하는 데이터수집장치를 설치하고, 상기 데이터수집장치에 네트워크와 통신(TCP/UDP)을 연결시키며, 상기 상기 데이터수집장치에 데이터베이스(DB)를 연결하여 연동되도록 하며, 시스템로그 및 SNMP(simple network management protocol)를 적용시키며,LDAP(Lightweight Directory Access Protocol)와 같은 프로토콜을 적용시킴으로써, 상기 데이터수집장치에 의해서 데이터를 수집하는 단계 B1;상기 단계 B1 이후에,상기 데이터수집장치에 의해서 수집된 데이터를 대상으로, 전처리를 위한 내부서버를 구비하고, 상기 내부서버에 의해서, 분석에 미사용된 데이터를 사전에 필터링하여 불필요한 리소스사용을 방지하는 필터링과정, 각 문장의 문법적인 구성 또는 구문을 분석하는 파싱(Parsing)과정, 데이터를 일정한 규칙에 따라 변형하여 이용하기 쉽게 만드는 정규화과정, 정부기관(금보원 및 KISA)에서 권고하는 암호화방식을 적용시키는 암호화 및 압축과정, 보안을 위하여 데이터 암호화를 수행한 후 대역폭감소를 위해 압축된 데이터를 외부클러스터로 전송시키는 저장 및 전송과정을 거치는 단계 C1을 더 포함하는 지능형 보안로그 분석방법.