• 제어로봇시스템학회:학술대회논문집
• /
• 제어로봇시스템학회 2005년도 ICCAS
• /
• pp.1602-1605
• /
• 2005

An audit tracer is one of the last ways to defend an attack for network equipments. Firewall and IDS which block off an attack in advance are active way and audit tracing is passive way which analogizes a type and a situation of an attack from log after an attack. This paper explains importance of audit trace function in network equipment for security and defines events which we must leave by security audit log. We design and implement security audit system for secure router. This paper explains the reason why we separate general audit log and security audit log.

• 한국정보통신학회논문지
• /
• 제22권2호
• /
• pp.382-389
• /
• 2018

최근 사이버 공격은 다양한 정보시스템에 심각한 피해를 주고 있다. 로그 데이터 분석은 이러한 문제를 해결하는 하나의 방법이다. 보안 로그 분석시스템은 로그 데이터 정보를 수집, 저장, 분석하여 보안 위험에 적절히 대처할 수 있게 한다. 본 논문에서는 보안 로그 분석을 위하여 분산 검색 엔진으로 사용되고 있는 Elasticsearch와 다양한 종류의 로그 데이터를 수집하고 가공 및 처리할 수 있게 하는 Logstash를 사용하여 보안 로그 분석시스템을 설계하고 구현하였다. 분석한 로그 데이터는 Kibana를 이용하여 로그 통계 및 검색 리포트를 생성하고 그 결과를 시각화할 수 있게 하였다. 구현한 검색엔진 기반 보안 로그 분석시스템과 기존의 Flume 로그 수집기, Flume HDFS 싱크 및 HBase를 사용하여 구현한 보안 로그 분석시스템의 성능을 비교 분석하였다. 실험 결과 Elasticsearch 기반의 로그 분석시스템을 사용할 경우 하둡 기반의 로그 분석시스템에 비하여 데이터베이스 쿼리 처리시간 및 로그 데이터 분석 시간을 현저하게 줄일 수 있음을 보였다.

• 정보보호학회논문지
• /
• 제30권1호
• /
• pp.157-167
• /
• 2020

최근 4차 산업혁명 도래의 기반을 제공한 빅데이터와 인공지능 기술은 산업 전반의 혁신을 견인하는 주요 동력이 되고 있다. 정보보안 영역에서도 그동안 효과적인 활용방안을 찾기 어려웠던 대규모 로그 데이터에 이러한 기술들을 적용하여 지능형 보안 체계를 개발 및 발전시키고자 노력하고 있다. 보안 인공지능 학습의 기반이 되는 보안로그 빅데이터의 품질은 곧 지능형 보안 체계의 성능을 결정짓는 중요한 입력 요소라고 할 수 있다. 하지만 다양한 제품 공급자에 따른 로그 데이터의 상이성과 복잡성은 빅데이터 전처리 과정에서 과도한 시간과 노력을 요하고 품질저하를 초래하는 문제가 있다. 본 연구에서는 다양한 방화벽 로그 데이터 포맷 관련 사례와 국내외 표준 조사를 바탕으로 데이터 수집 포맷 표준안을 제시하여 보안 로그 빅데이터를 기반으로 하는 지능형 보안 체계 발전에 기여하고자 한다.

• 융합보안논문지
• /
• 제18권3호
• /
• pp.77-85
• /
• 2018

제어시스템은 공공 네트워크와의 통신망 융합에 따라 다양한 루트를 통해 정보유출 및 변조 등의 위협이 제어시스템에서도 그대로 나타날 수 있다. 최근 다양한 보안에 대한 이슈와 새로운 공격기법에 의한 침해 사례가 다변화됨에 따라서, 단순히 차단 및 확인 등의 학습을 통해 정보를 데이터베이스화하는 보안 시스템으로는 새로운 형태의 위협에는 대처하기 힘들어지고 있다. 현재 제어시스템에서는 이처럼 외부에서 내부로의 위협에 치중하여 보안 시스템을 운용하고 있으며, 보안 접근 권한을 가진 내부자에 의한 보안위협 탐지에 대해서는 미비한 실정이다. 이에 따라 본 연구에서는 NSA에서 발표한 "Spotting the Adversary with Windows Event Log Monitoring"의 주요 Event Log 목록을 토대로 중요도 분석을 실시하였다. 그 결과 제어시스템에 내부자 위협탐지를 위한 Event Log의 중요도 여부를 알 수 있었으며, 분석결과를 바탕으로 이 분야의 연구에 기여할 수 있을 것으로 판단된다.

• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.591-603
• /
• 2018

윈도우 이벤트 로그는 윈도우 운영체제에서 시스템 로그를 기록하는 형식이며, 시스템 운영에 대한 정보를 체계적으로 관리한다. 이벤트는 시스템 자체 또는 사용자의 특정 행위로 인해 발생할 수 있고, 특정 이벤트 로그는 기업 보안 감사, 악성코드 탐지 등에 사용될 수 있다. 본 논문에서는 기업 보안 감사 및 악성코드 탐지와 관련된 이벤트 로그(외부장치 연결, 응용 프로그램 설치, 공유 폴더 사용, 프린터 사용, 원격 연결/해제, PC 시작/종료, 로그온/오프, 절전모드, 네트워크 연결/해제, 이벤트 로그 삭제, 시스템 시간 변경, 파일/레지스트리 조작, 프로세스 생성, DNS 질의, 윈도우 서비스 추가)들을 선정하고, 발생하는 이벤트 ID를 분류 및 분석하였다. 또한, 기존의 이벤트 로그 분석도구는 EVTX 파싱 기능만을 포함하고 있어 이를 포렌식 수사에 이용할 경우 사용자의 행적을 추적하기 어렵다. 이에 본 연구에서 새로운 분석도구를 구현하였으며, EVTX 파싱과 행위 분석이 가능하다.

• 융합보안논문지
• /
• 제15권7호
• /
• pp.85-96
• /
• 2015

보안로그의 활용범위가 다양해짐에 따라 저장된 로그 데이터에 대한 무결성의 중요성이 높아지고 있다. 특히, 저장된 로그 데이터는 시스템에 침입한 공격자들이 자신의 흔적을 없애기 위해 우선적으로 조작되는 대상이다. 키 정보가 노출이 된 이후의 로그 데이터의 안전성은 보장하지 못하지만, 그 이전에 축적된 로그 데이터 무결성의 전방 안전성을 보장하는 다양한 이론적 기법들이 소개되었다. 본 논문에서는 기존기법들의 특성을 분석하며, 계산 효율적인 측면에서의 비교분석을 통해 적용될 운영환경에 적합한 기법들의 유효성을 확인한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2022년도 춘계학술대회
• /
• pp.557-559
• /
• 2022

오픈소스의 사용으로 개발 환경이 편리해지고 유지보수가 보다 용이해진 장점이 있지만 보안적인 측면에서 볼 때 취약점에 노출되기 쉽다는 한계점이 존재한다. 이와 관련하여 최근에는 아파치에서 매우 광범위하게 사용되고 있는 오픈소스 로깅 라이브러리인 LOG4J 취약점이 발견되었다. 현재 이 취약점의 위험도는 '최고' 수준이며 개발자들도 이와 같은 문제점을 인지하지 못한 채 많은 시스템에 사용하고 있어 향후 LOG4J 취약점으로 인한 해킹 사고가 지속적으로 발생할 우려가 있다. 본 논문에서는 클라우드 환경에서 LOG4J 취약점에 대해서 자세하게 분석하고, 보안관제시스템에서 보다 신속하고 정확하게 취약점을 탐지할 수 있는 SNORT 탐지 정책 기술을 제안한다. 이를 통해 향후 보안 관련 입문자, 보안 담당자 그리고 기업들이 LOG4J 취약점 사태에 대비하여 효율적인 모니터링 운영과 신속하고 능동적인 대처가 가능해질 것으로 기대 한다.

• 융합보안논문지
• /
• 제17권5호
• /
• pp.35-40
• /
• 2017

제어시스템은 공공 네트워크와의 통신망 융합에 따라 다양한 루트를 통해 정보유출 및 변조 등의 위협이 제어시스템에서도 그대로 나타날 수 있다. 최근 다양한 보안에 대한 이슈와 새로운 공격기법에 의한 침해 사례가 다변화됨에 따라서, 단순히 차단 및 확인 등의 학습을 통해 정보를 데이터베이스화하는 보안 시스템으로는 새로운 형태의 위협에는 대처하기 힘들어지고 있으며, 보안 접근 권한을 가진 내부자에 의한 보안위협에 대해서도 기존의 보안장비로는 대응하기가 어렵다. 내부자에 의한 위협에 대응하기 위해 내부 시스템에서 실시간으로 발생한 Event Log를 수집하고 분석하여야 한다. 이에 따라 본 연구에서는 제어시스템에서 실시간으로 발생한 Event Log들을 토대로 상관분석을 통해 Event Log간 요소들의 상관관계의 여부를 알 수 있었으며, 분석결과를 바탕으로 이 분야의 연구에 기여할 수 있을 것으로 판단된다.

• Journal of Information Technology Applications and Management
• /
• 제13권4호
• /
• pp.141-153
• /
• 2006

According to supply of super high way internet service, importance of security becomes more emphasizing. Therefore, flawless security solution is needed for blocking information outflow when we send or receive data. large enterprise and public organizations can react to this problem, however, small organization with limited work force and capital can't. Therefore they need to elevate their level of information security by improving their information security system without additional money. No hackings can be done without passing invasion blocking system which installed at the very front of network. Therefore, if we manage.isolation log effective, we can recognize hacking trial at the step of pre-detection. In this paper, it supports information security manager to execute isolation log analysis very effectively. It also provides isolation log analysis module which notifies hacking attack by analyzing isolation log.

• 정보보호학회논문지
• /
• 제19권6호
• /
• pp.135-144
• /
• 2009

본 논문은 오늘날 정보사회의 핵심 정보 자원인 개인정보가 웹 로그를 통해 누출될 수 있는 보안 위협의 심각성을 재인식시키고, 이를 근원적으로 예방하기 위한 대응방안을 제시한다. 최근 개인정보는 정보사회의 발전과 함께 범위 및 종류가 확대되고 그 중요성이 매우 커지게 되었다. 웹 로그는 법 제도적으로 규정된 개인정보가 저장되는 개인정보 파일임에도 불구하고, 웹 서비스의 부산물 정도로만 인식되어 충분한 보호조치가 이루어지지 못하고 있다. 웹 로그를 통해 노출될 수 있는 개인정보를 개발 단계에서 통제하여 웹 로그에 개인정보가 저장되는 것을 최소화하고, 운영 단계에서 적용되어야 하는 기술적 대안을 제시한다. 근본적 보호체계를 통해 법 제도적 규제를 준수하고 개인정보를 효과적으로 보호할 수 있다.