Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

ILVA: Integrated audit-log analysis tool and its application.

시스템 보안 강화를 위한 로그 분석 도구 ILVA와 실제 적용 사례

  • 차성덕 (한국과학기술원 전산학과 소프트웨어 공학연구실 첨단정보기술연구센터)
  • Published : 1999.09.01
Download PDF
⟨ Previous Next ⟩

Abstract

Widespread use of Internet despite numerous positive aspects resulted in increased number of system intrusions and the need for enhanced security mechanisms is urgent. Systematic collection and analysis of log data are essential in intrusion investigation. Unfortunately existing logs are stored in diverse and incompatible format thus making an automated intrusion investigation practically impossible. We examined the types of log data essential in intrusion investigation and implemented a tool to enable systematic collection and efficient analysis of voluminous log data. Our tool based on RBDMS and SQL provides graphical and user-friendly interface. We describe our experience of using the tool in actual intrusion investigation and explain how our tool can be further enhanced.

인터넷의 급속한 발전과 함께 정보 시스템의 보안 위협인 침입 사고도 급증하고 있다. 보다 강 화된 보안 메커니즘이 요구되고 있다. 시스템 로그 분석은 이런 침입 사실을 탐지하고 침입 자를 추적하 기 위해 필수적인 과정이나 로그 자료의 종류와 형태의 다양함으로 인해 자동화된 로그 수 집 및 분석이 현실적으로 어려운 상태이다. 우리는 침입 추적에 필요한 로그 자료의 형태를 정의하고 방 대한 로그 자 료로부터 효율적으로 로그수집, 분석할수 있는 도구를 설계 및 구현하였다. 이 논문에서는 개발된 도구 를 사용하여 실제 침입 추적을 한 경험을 소개하고 도구의 향후 개선 방향을 제시한다 Widespread use of Internet despite numerous positive aspects resulted in increased number of system intrusions and the need for enhanced security mechanisms is urgent. Systematic collection and analysis of log data are essential in intrusion investigation. Unfortunately existing logs are stored in diverse and incompatible format thus making an automated intrusion investigation practically impossible. We examined the types of log data essential in intrusion investigation and implemented a tool to enable systematic collection and efficient analysis of voluminous log data. Our tool based on RBDMS and SQL provides graphical and user-friendly interface. We describe our experience of using the tool in actual intrusion investigation and explain how our tool can be further enhanced.

Keywords

References

  1. Practical UNIX and Internet Security, second edition Simson Garfinkel;Gene Spafford
  2. NSA R.G.Bace
  3. Computer Operations, Audit and Security Technology Team
  4. 정보보호뉴스 1998년 7월호 정보보호센터
  5. Languages and Tools for Rule-Based Distributed Intrusion Detection Abdelaziz Mounzi
  6. In Proceedings of the 18th National Information Systems Security Conference A Standard Audit Trail Format Matt Bishop
  7. Distributed Audit Service(XDAS) Base-Draft 8 Preliminary Specification The Open Group
  8. In Proceedings of the 4th Workshop on Computer Security Incident Handling Real-time Audit Log Viewer and Analyzer A. Moitra
  9. UC-Davis TR-CSE-95-11 Audit Log Anasis Using the Visual Brower Toolkit James Hoagland(et al.)
  10. 전산망 보안상황 모니터 시스템 개발에 대한 연구 경북대
  11. 전산망 보안 평가시스템 연구 한국과학기술원
  12. Paradigms for the Reduction of Audit Trails' B. R. Wetmore
  13. PostgreSQL programmer's Guide The PostgreSQL Development Team