[go: up one dir, main page]

KR100758476B1 - Security log analysis device and method for process control system - Google Patents

Security log analysis device and method for process control system Download PDF

Info

Publication number
KR100758476B1
KR100758476B1 KR1020050130060A KR20050130060A KR100758476B1 KR 100758476 B1 KR100758476 B1 KR 100758476B1 KR 1020050130060 A KR1020050130060 A KR 1020050130060A KR 20050130060 A KR20050130060 A KR 20050130060A KR 100758476 B1 KR100758476 B1 KR 100758476B1
Authority
KR
South Korea
Prior art keywords
log
warning message
address
process control
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR1020050130060A
Other languages
Korean (ko)
Other versions
KR20070068202A (en
Inventor
김용수
이상우
Original Assignee
주식회사 포스코
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 포스코 filed Critical 주식회사 포스코
Priority to KR1020050130060A priority Critical patent/KR100758476B1/en
Publication of KR20070068202A publication Critical patent/KR20070068202A/en
Application granted granted Critical
Publication of KR100758476B1 publication Critical patent/KR100758476B1/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 침입탐지시스템에서 생성된 다수의 침입탐지 로그를 하나의 메시지로 통합시키고, 상기 통합된 메시지와 공정제어시스템 정보와의 연관성을 분석하는 공정제어시스템용 보안 로그 분석장치 및 방법에 관한 것이다.The present invention relates to a security log analysis apparatus and method for a process control system for integrating a plurality of intrusion detection logs generated in an intrusion detection system into a single message and analyzing the association between the integrated message and process control system information. .

본 발명은 침입탐지시스템으로부터 전송되는 침입탐지 로그 정보와 공정제어시스템으로부터 전송되는 로그 정보 및 자원 사용 정보를 저장하는 데이터베이스부; 상기 데이터베이스부에 저장된 로그 정보를 검색하여 상기 침입탐지시스템으로부터 전송된 로그 중에서 동일 또는 유사한 다수의 침입탐지 로그를 하나의 메시지로 통합하여 통합 경고 메시지를 생성하고 관리자에게 보고하는 전처리부; 및 상기 통합 경고 메시지와 상기 데이터베이스부에 저장된 공정제어시스템의 자원 사용 정보와의 연관성을 분석하여 연관 경고 메시지를 생성하고 상기 관리자에게 보고하는 연관분석부를 포함한다.The present invention includes a database unit for storing intrusion detection log information transmitted from the intrusion detection system and log information and resource usage information transmitted from the process control system; A pre-processing unit for retrieving log information stored in the database unit, integrating the same or similar multiple intrusion detection logs from one of the logs transmitted from the intrusion detection system into a single message to generate an integrated warning message, and to report it to an administrator; And an association analysis unit for generating an association warning message by analyzing the association between the integrated warning message and resource usage information of the process control system stored in the database unit, and reporting the association warning message to the manager.

침입 탐지, 로그, 연관성, 통합 경고 메시지, 연관 경고 메시지 Intrusion Detection, Log, Association, Integration Alert Message, Association Alert Message

Description

공정제어시스템용 보안 로그 분석장치 및 방법{APPARATUS AND METHOD FOR ANALYZING SECURITY LOG FOR PROCESS CONTROL SYSTEM}Security log analysis apparatus and method for process control system {APPARATUS AND METHOD FOR ANALYZING SECURITY LOG FOR PROCESS CONTROL SYSTEM}

도 1은 본 발명의 일 실시예에 따른 공정제어시스템용 보안 로그 분석장치의 구성 블록도이다.1 is a block diagram of a security log analysis device for a process control system according to an embodiment of the present invention.

도 2는 본 발명에 따른 통합 경고 메시지의 분류도이다.2 is a classification diagram of an integrated alert message according to the present invention.

도 3은 본 발명에 따른 통합 로그 트리 구성과정을 보이는 흐름도이다.3 is a flowchart illustrating a process of constructing an integrated log tree according to the present invention.

도 4는 본 발명에 따른 통합 경고 메시지의 카운트 필드를 이용하여 생성한 로그 트리의 예시도이다.4 is an exemplary diagram of a log tree generated using a count field of an integrated alert message according to the present invention.

도 5는 본 발명의 일 실시예에 따른 통합 경고 메시지의 생성과정의 일례를 보이는 개념도이다.5 is a conceptual diagram illustrating an example of a process of generating an integrated alert message according to an embodiment of the present invention.

* 도면의 주요 부분에 대한 부호의 설명 * Explanation of symbols on the main parts of the drawings

10 : 침입탐지시스템 20 : 공정제어시스템10: intrusion detection system 20: process control system

110 : 데이터베이스부 120 : 전처리부110: database unit 120: preprocessing unit

130 : 연관분석부130: association analysis unit

본 발명은 공정제어시스템용 보안 로그 분석장치 및 방법에 관한 것으로서, 특히 침입탐지시스템에서 생성된 다수의 침입탐지 로그를 하나의 메시지로 통합시켜 통합 경고 메시지를 생성하고 이를 공정제어시스템 정보와의 연관성을 분석하여 연관 경보 메시지를 생성하는 공정제어시스템용 보안 로그 분석장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for analyzing a security log for a process control system. In particular, a plurality of intrusion detection logs generated by an intrusion detection system are integrated into a single message to generate an integrated warning message and to associate it with process control system information. The present invention relates to a security log analysis apparatus and method for a process control system that generates an associated alarm message by analyzing the data.

일반적으로 공정제어시스템은 다양한 공정(process)에서 계측 및 제어 기능을 수행하기 위해 적용되는 시스템으로서 산업의 전 분야에 걸쳐 매우 광범위하게 사용되고 있다. 이러한 공정제어시스템에 범용 운영체제의 적용이 증가함에 따라 시스템 및 네트워크 보안 위협이 증대하고 있으며, 이에 따라서 보안 시스템의 적용이 필요하게 되었다. In general, a process control system is a system that is applied to perform measurement and control functions in various processes, and is widely used throughout the industry. As the application of general-purpose operating systems to these process control systems is increasing, system and network security threats are increasing, and therefore, application of security systems is required.

그러나, 공정제어시스템은 제어 및 계측 기능에 초점을 두어 개발되므로 시스템 최적화가 이루어지지 않아서 불필요한 패킷을 다량 발생시킨다. 현재 수많은 공정제어시스템이 서로 연관되어 사용되고 있으므로 불필요한 패킷 발생을 억제하는데는 너무나 많은 노력과 시간이 소요되어 현실적으로 불가능하다. 이러한 불요한 패킷들로 인해 침입 탐지시스템은 동일하거나 유사한 경고 메시지를 다량 발생시키므로 시스템 관리에 많은 어려움을 주고 있다. However, the process control system is developed with a focus on control and measurement functions, so that the system optimization is not performed, thereby generating a large amount of unnecessary packets. Since many process control systems are currently used in conjunction with each other, it takes too much effort and time to suppress unnecessary packet generation, which is not practical. These unnecessary packets cause a lot of difficulties in system management because the intrusion detection system generates a large number of identical or similar warning messages.

종래의 침입 탐지 시스템은 다양한 방법으로 침입에 대한 경고 메시지를 생성해 내고 있지만 다음과 같은 몇 가지 문제점들을 안고 있다. 첫 번째는 경고 메시지의 홍수(Flooding)이다. IP나 포트 스캐닝(Scanning)과 같은 공격에 대해 침입 탐지 시스템은 관리자에게 수많은 경고 메시지를 보낸다. 두 번째는 긍정적 탐지 오류(False Positive)이다. 이것은 공격이 아니지만 공격으로 탐지하여 관리자에게 경고 메시지를 보내는 것이다. 이러한 긍정적 탐지 오류에는 여러 가지 원인이 있지만 제어 네트워크에서 네트워크 관리를 위한 패킷(예:Ping패킷) 또는 네트워크 내에서의 정상적인 흐름과 공격 패턴의 유사성 때문에 일어나게 된다. 마지막으로 현재의 침입 탐지시스템은 공격간의 관계를 고려하지 못하고 있다. 따라서 관리자는 발생되는 경고 메시지들간의 공통적 특성이나 관계를 일일이 분석하여야만 실제의 침입을 찾아내고 대응을 수행할 수 있다. Conventional intrusion detection systems generate warning messages for intrusions in various ways, but have some problems as follows. The first is the flooding of warning messages. Intrusion detection systems send numerous warning messages to administrators for attacks such as IP or port scanning. The second is a false positive. This is not an attack, but is detected as an attack and sent a warning message to the administrator. There are many reasons for this positive detection error, but it can be caused by the similarity of normal traffic and attack patterns within the network, such as packets for network management (eg Ping packets) in the control network. Finally, current intrusion detection systems do not consider the relationship between attacks. Therefore, the administrator must analyze the common characteristics or relations among the warning messages generated in order to find the actual intrusion and respond.

이러한 문제점들에 기인하여 현재의 침입 탐지 시스템은 시스템 및 네트워크에 대한 침입에 대해 한번의 공격에 대해 다수의 경고 메시지를 발생시킨다. 예컨대, 버퍼 오버플로우(Buffer Overflow) 공격과 같이 적은 양의 트래픽을 발생시키는 공격이라고 하더라도 공격자는 한번의 시도로 공격에 성공할 수 없기 때문에 여러 번의 관련된 공격 시도를 수행하게 된다. 또한 본격적 공격에 앞서 네트워크의 구성을 파악하거나 취약한 시스템을 찾기 위한 스캐닝을 수행한다. 이러한 시도들에 의해 공격자는 침입 탐지시스템에 동일하거나 비슷한 특성의 다수의 경고 메시지를 발생시킨다. Due to these problems, current intrusion detection systems generate multiple warning messages for one attack against intrusions into systems and networks. For example, an attack that generates a small amount of traffic, such as a buffer overflow attack, may perform several related attack attempts because the attacker cannot succeed in one attempt. In addition, the network configuration or scanning to find vulnerable systems prior to a full-scale attack. These attempts cause the attacker to generate a number of warning messages of the same or similar characteristics to the intrusion detection system.

본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로서, 침입 탐지시스템에서 생성되는 동일 또는 유사한 다수의 침입탐지로그를 하나의 메시지로 통합시켜 통합 경고 메시지를 생성하고, 상기 생성된 통합 경고 메시지와 공정제어시스템의 정보와의 연관성을 분석하여 연관 경고 메시지를 생성하고 이를 관리자에게 보고하는 공정제어시스템용 보안 로그 분석장치 및 방법을 제공하는데 그 목적이 있다.The present invention has been proposed to solve the above-mentioned conventional problems, by integrating the same or similar multiple intrusion detection log generated in the intrusion detection system into a single message to generate an integrated warning message, the generated integrated warning message The purpose of the present invention is to provide a security log analysis apparatus and method for a process control system that generates a related warning message by analyzing the association with the information of the process control system and reports it to an administrator.

상기 목적을 달성하기 위한 본 발명의 공정제어시스템용 보안로그 분석장치는,Security log analysis device for a process control system of the present invention for achieving the above object,

침입탐지시스템으로부터 전송되는 침입탐지 로그 정보와 공정제어시스템으로부터 전송되는 로그 정보 및 자원 사용 정보를 저장하는 데이터베이스부; 상기 데이터베이스부에 저장된 로그 정보를 검색하여 상기 침입탐지시스템으로부터 전송된 로그 중에서 동일 또는 유사한 다수의 침입탐지 로그를 하나의 메시지로 통합하여 통합 경고 메시지를 생성하고 관리자에게 보고하는 전처리부; 및 상기 통합 경고 메시지와 상기 데이터베이스부에 저장된 공정제어시스템의 자원 사용 정보와의 연관성을 분석하여 연관 경고 메시지를 생성하고 상기 관리자에게 보고하는 연관분석부를 포함한다.A database unit for storing intrusion detection log information transmitted from the intrusion detection system and log information and resource usage information transmitted from the process control system; A pre-processing unit for retrieving log information stored in the database unit, integrating the same or similar multiple intrusion detection logs from one of the logs transmitted from the intrusion detection system into a single message to generate an integrated warning message, and to report it to an administrator; And an association analysis unit for generating an association warning message by analyzing the association between the integrated warning message and resource usage information of the process control system stored in the database unit, and reporting the association warning message to the manager.

본 발명의 일 실시예에서, 상기 통합 경고 메시지는 공격자의 IP주소, 공격대상 시스템의 IP주소 및 공격종류에 따라 분류된다.In one embodiment of the present invention, the integrated warning message is classified according to the attacker's IP address, the target system's IP address and the attack type.

본 발명의 일 실시예에서, 상기 통합 경고 메시지는 3비트의 정보로 구분하되, 첫번째 비트는 공격자의 IP주소, 두번째 비트는 공격대상 시스템의 IP주소, 세 번째 비트는 공격의 종류를 나타낸다. 이때, 상기 각 비트는 0 또는 1로 표시되고, 해당 비트가 1인 경우 해당 IP주소 및 공격종류가 같음을 나타내고, 0인 경우 해당 IP주소 또는 공격종류가 다름을 나타낸다.In one embodiment of the present invention, the integrated warning message is divided into three bits of information, where the first bit represents the attacker's IP address, the second bit represents the IP address of the target system, and the third bit represents the type of attack. In this case, each bit is indicated by 0 or 1, and when the corresponding bit is 1, the corresponding IP address and the attack type are the same, and when the bit is 0, the corresponding IP address or the attack type is different.

본 발명의 일 실시예에서, 상기 연관분석부는 상기 통합 경고 메시지의 정보와 상기 공정제어시스템의 운영체제, 중요도, 관련 로그 유무 및 시스템 정보와의 연관정보를 분석하여 연관 경고 메시지를 생성한다. In one embodiment of the present invention, the association analysis unit generates an association warning message by analyzing the association information between the information of the integrated alert message and the operating system, importance, log presence and system information of the process control system.

이때, 상기 통합 경고 메시지의 공격 종류가 상기 공정제어시스템의 운영 체제에 적합한 경우, 운영 체제에 대한 연관 경고 메시지를 생성하고, 상기 통합 경고 메시지의 공정제어시스템에 대한 공격이 관리자에 의해 미리 설정된 공격의 중요도에 도달하는 경우 중요도에 대한 연관 경고 메시지를 생성하고, 상기 통합 경고 메시지의 공격 종류를 확인하여 관련된 로그가 상기 공정제어시스템에 일정 시간 동안 남아 있는 경우, 관련 로그 유무에 대한 연관 경고 메시지를 생성하며, 상기 공정제어시스템의 정보를 확인하여 시스템 사용량이 미리 설정된 기준치를 넘는 경우 시스템 정보에 대한 연관 경고 메시지를 생성한다.At this time, if the attack type of the integrated warning message is suitable for the operating system of the process control system, the associated warning message for the operating system is generated, and the attack on the process control system of the integrated warning message is an attack preset by an administrator. In case of reaching the criticality level, the relevant warning message is generated for the importance level, and if the related log remains in the process control system for a certain time by checking the attack type of the integrated warning message, the associated warning message for the presence or absence of the relevant log is displayed. It generates and, if the system usage exceeds the predetermined reference value by checking the information of the process control system and generates an associated warning message for the system information.

또한, 상기 목적을 달성하기 위한 본 발명의 공정제어시스템용 보안로그 분석방법은, 침입탐지시스템으로부터 전송된 침입 탐지 로그 및 공정제어시스템의 로그 정보를 저장하는 제1단계; 상기 저장된 침입 탐지 로그 중 동일 또는 유사한 침입 탐지 로그를 하나의 메시지로 통합하여 통합 경고 메시지를 생성하고 관리자에게 보고하는 제2단계; 및 상기 통합 경고 메시지와 상기 저장된 공정제어시스템의 로그 정보와의 연관성(correlation)을 분석하여 연관 경고 메시지를 생성하고 상기 관리자에게 보고하는 제3단계를 포함한다.In addition, the security log analysis method for a process control system of the present invention for achieving the above object, the first step of storing the intrusion detection log transmitted from the intrusion detection system and the log information of the process control system; A second step of integrating the same or similar intrusion detection log among the stored intrusion detection logs into one message to generate an integrated warning message and report it to an administrator; And a third step of analyzing a correlation between the integrated warning message and log information of the stored process control system to generate a related warning message and report the result to the manager.

본 발명의 일 실시예에서, 상기 통합 경고 메시지는 공격자의 IP주소, 공격대상 시스템의 IP주소 및 공격종류에 따라 분류된다.In one embodiment of the present invention, the integrated warning message is classified according to the attacker's IP address, the target system's IP address and the attack type.

본 발명의 일 실시예에서, 상기 통합 경고 메시지는 3비트의 정보로 구분하되, 첫번째 비트는 공격자의 IP주소, 두번째 비트는 공격대상 시스템의 IP주소, 세번째 비트는 공격의 종류를 나타내다. 이때, 상기 각 비트는 0 또는 1로 표시되고, 해당 비트가 1인 경우 해당 IP주소 및 공격종류가 같음을 나타내고, 0인 경우 해당 IP주소 또는 공격종류가 다름을 나타낸다.In one embodiment of the present invention, the integrated warning message is divided into three bits of information, where the first bit represents the attacker's IP address, the second bit represents the IP address of the target system, and the third bit represents the type of attack. In this case, each bit is indicated by 0 or 1, and when the corresponding bit is 1, the corresponding IP address and the attack type are the same, and when the bit is 0, the corresponding IP address or the attack type is different.

본 발명의 일 실시예에서, 상기 제2단계는, 상기 저장된 다수의 침입 탐지 로그 중 제1로그를 로그 트리의 루트노드로 구성하는 제4단계; 제n로그(n≥2,정수) 및 상기 제1로그의 특성정보를 비교하는 제5단계; 상기 비교결과, 적어도 하나의 특성이 동일하면 상기 제2로그를 제1로그의 하부 노드로 구성하고, 특성이 다르면 상기 제n노드를 새로운 로그 트리의 루트 노드로 구성하는 제6단계; 및 상기 각 노드를 하나의 통합 경고 메시지로 생성하는 제7단계를 포함한다.In an embodiment of the present invention, the second step may include: a fourth step of configuring a first log of the stored plurality of intrusion detection logs as a root node of a log tree; A fifth step of comparing the nth log (n ≧ 2, integer) and the characteristic information of the first log; A sixth step of configuring the second log as a lower node of the first log when at least one characteristic is the same and configuring the nth node as a root node of a new log tree when the characteristics are different; And a seventh step of generating each node as one integrated warning message.

이때, 상기 침입 탐지 로그의 특성정보는 각각 1비트의 공격자의 IP주소, 공격대상 시스템의 IP주소 및 공격종류를 포함한다.At this time, the characteristic information of the intrusion detection log includes the IP address of the attacker, the IP address of the target system and the attack type, respectively.

본 발명의 일 실시예에서, 상기 제6단계 이후에, 상기 제n로그가 이미 로그트리의 노드로 구성된 특정 로그와 동일한 경우, 상기 제n로그의 개수만큼 상기 특정 로그의 카운트(count)를 증가시키는 단계를 더 포함할 수 있다.In an embodiment of the present disclosure, after the sixth step, when the n-th log is the same as a specific log configured as a node of a log tree, the count of the specific log is increased by the number of the n-th log. It may further comprise the step of.

본 발명의 일 실시예에서, 상기 통합 경고 메시지는 111, 110, 101, 100, 011, 010 및 001 통합 경고 메시지를 포함하며, 상기 111 통합 경보 메시지는 공격자 IP주소, 공격대상 시스템 IP주소 및 공격종류가 모두 동일한 침입 탐지 로그의 카운트(count)가 기설정된 제1임계치를 넘는 경우에 생성되고, 상기 110, 101 및 011 통합 경고 메시지는 공격자 IP주소, 공격대상 시스템 IP주소 및 공격종류 중 두 개만 동일한 침입 탐지 로그의 카운트(count)가 기설정된 제2임계치를 넘는 경우에 생성되며, 상기 100, 010, 001 통합 경고 메시지는 공격자 IP주소, 공격대상 시스템 IP주소 및 공격종류 중 하나만 동일한 침입 탐지 로그의 카운트(count)가 기설정된 제3임계치를 넘는 경우에 생성된다.In one embodiment of the present invention, the integrated alert message includes 111, 110, 101, 100, 011, 010, and 001 integrated alert message, wherein the 111 integrated alert message includes an attacker IP address, a target system IP address, and an attack. Generated when the count of the intrusion detection log of the same type all exceeds a predetermined first threshold value, the 110, 101, and 011 integrated warning message is generated by only two of the attacker IP address, the target system IP address, and the attack type. Generated when the count of the same intrusion detection log exceeds a preset second threshold value, the 100, 010, 001 integrated warning message is the same intrusion detection log with only one of the attacker IP address, the target system IP address, and the attack type. The count is generated when the count exceeds the predetermined third threshold.

이하, 본 발명의 바람직한 실시형태가 첨부된 도면들을 참조하여 본 발명을 보다 상세하게 설명한다. 하기에서 본 발명을 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.Hereinafter, the present invention will be described in more detail with reference to the accompanying drawings. In the following description of the present invention, if it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.

도 1은 본 발명의 일 실시예에 따른 공정제어시스템용 보안 로그 분석장치의 구성 블록도이다.1 is a block diagram of a security log analysis device for a process control system according to an embodiment of the present invention.

도 1을 참조하면, 본 발명에 따른 공정제어시스템용 보안 로그 분석장치(100)는, 데이터베이스부(110), 전처리부(120) 및 연관분석부(130)를 포함하여 구성된다. 1, the security log analysis apparatus 100 for a process control system according to the present invention includes a database unit 110, a preprocessor 120, and an association analysis unit 130.

상기 데이터베이스부(110)는 공정제어시스템의 다수의 로그 정보를 저장한다. 특히 상기 데이터베이스부(110)는 침입탐지시스템(10)으로부터 전송되는 침입탐지 로그 정보와 공정제어시스템(20)으로부터 전송되는 시스템 로그 정보 및 자원 사용 정보를 저장한다. The database unit 110 stores a plurality of log information of the process control system. In particular, the database unit 110 stores intrusion detection log information transmitted from the intrusion detection system 10 and system log information and resource usage information transmitted from the process control system 20.

상기 전처리부(120)는 상기 데이터베이스부(110)에 저장된 로그 정보를 검색하여 상기 침입탐지시스템(10)으로부터 전송된 로그 중에서 동일 또는 유사한 다수의 침입탐지 로그를 하나의 메시지로 통합하여 통합 경보 메시지를 생성하고 이를 관리자(30)에게 보고한다. 이러한 과정을 전처리(preprocessing)과정이라 한다. The preprocessing unit 120 retrieves log information stored in the database unit 110 and integrates a plurality of intrusion detection logs identical or similar among logs transmitted from the intrusion detection system 10 into a single message. Create and report it to the manager (30). This process is called preprocessing.

상기 연관분석부(130)는 상기 통합 경보 메시지와 상기 데이터베이스부(110)에 저장된 공정제어시스템(20)의 정보와의 연관성(correlation)을 분석하여 연관 경고 메시지를 생성하고 이를 상기 관리자(30)에게 보고한다. 이때, 상기에서의 연관성 분석은 운영체제, 중요도, 관련 로그 유무, 시스템 정보 중 적어도 하나의 정보에 대하여 상기 공정제어시스템(20)의 정보와 연관성이 있는지를 판단하는 것이다.The association analysis unit 130 analyzes the correlation between the integrated alert message and the information of the process control system 20 stored in the database unit 110 to generate an association warning message, and the manager 30 generates the association warning message. Report to At this time, the correlation analysis in the above is to determine whether the information related to the information of the process control system 20 to at least one of the operating system, the importance, the presence or absence of the log, system information.

이와 같이 본 발명에 따른 공정제어시스템용 보안 로그 분석장치(100)는 침입탐지시스템(10)의 침입 탐지 로그를 통합하여 하나의 경고 메시지를 생성하고, 상기 통합된 경고 메시지와 공정제어시스템(20)의 정보와의 연관성(correlation)과정을 통해 다른 로그와의 연관여부를 분석하여 연관 경고 메시지를 생성한다. 상기 생성된 통합 경고 메시지 및 연관 경고 메시지를 각각 관리자(30)에게 통보한다.As such, the security log analysis apparatus 100 for a process control system according to the present invention integrates an intrusion detection log of the intrusion detection system 10 to generate one warning message, and the integrated warning message and the process control system 20. Correlation process with information of) is used to analyze the association with other logs to generate an association warning message. Notify the manager 30 of the generated integrated warning message and the associated warning message, respectively.

또한, 본 발명에 따른 공정제어시스템용 보안 로그 분석장치(100)는 상기 침 입탐지시스템(10)에서 생성하는 유사 또는 동일하거나 반복되는 다수의 침입 탐지 로그를 하나의 메시지로 통합하여 경고 메시지를 발생시킨다(preprocessing과정). 이와 같이 통합 경고 메시지는 공격자의 IP주소, 대상 시스템의 IP주소 및 공격 종류의 유사성에 따라 크게 7가지 종류로 분류될 수 있다. 이때, 7가지 종류의 통합 경고 메시지는 바람직하게는 3비트 정보로 구분될 수 있는데, 첫 번째 비트는 공격자의 IP주소, 두 번째 비트는 공격대상 시스템의 IP주소, 세 번째 비트는 공격의 종류를 나타낸다. 예컨대, 111 통합 로그는 공격자 IP주소, 공격대상 시스템의 IP주소 및 공격의 종류가 모두 같은 로그를 나타내고, 011 로그는 공격대상 시스템의 IP주소와 공격의 종류가 같은 로그를 나타낸다. 이러한 통합 경고 메시지를 도 2를 참조하여 보다 구체적으로 설명한다.In addition, the security log analysis apparatus 100 for a process control system according to the present invention integrates a plurality of similar, identical or repeated intrusion detection logs generated by the intrusion detection system 10 into a single message to alert the user. (Preprocessing process). As such, the integrated warning message can be classified into seven types according to the similarity between the attacker's IP address, the target system's IP address, and the attack type. At this time, the seven types of integrated warning message can be preferably divided into three bits of information, where the first bit is the IP address of the attacker, the second bit is the IP address of the target system, and the third bit is the type of attack. Indicates. For example, the 111 consolidated log shows a log in which the attacker's IP address, the target system's IP address, and the type of attack are all the same. This integrated warning message will be described in more detail with reference to FIG. 2.

도 2는 본 발명에 따른 통합 경고 메시지의 분류도이다.2 is a classification diagram of an integrated alert message according to the present invention.

도 2를 참조하면, 본 발명에 따른 통합 경보 메시지(21~27)는 7가지의 종류로 분류된다. 침입탐지시스템(10)으로부터 침입탐지 로그(예컨대, 침입(공격)에 대한 경고 메시지)가 전송되면 이를 데이터베이스부(110)에 저장하고, 전처리부(120)에서는 상기 데이터베이스부(110)에 저장된 다수의 침입 경고 메시지를 분석하여 하나의 통합된 경고 메시지를 생성한다. 즉, 도 2에 도시된 7가지 중 어느 하나의 통합 경고 메시지를 생성한다.Referring to FIG. 2, the integrated alert messages 21 to 27 according to the present invention are classified into seven types. When an intrusion detection log (for example, a warning message about an intrusion (attack)) is transmitted from the intrusion detection system 10, the intrusion detection log is stored in the database unit 110, and the preprocessing unit 120 stores a plurality of data stored in the database unit 110. Analyze intrusion alert messages in a single message to generate a single unified alert message. In other words, one of the seven integrated warning messages shown in FIG. 2 is generated.

먼저, 상기 전처리부(120)는 첫번째 공격 메시지에 대하여 111 통합 로그, 즉 111 노드(21)를 생성한다. 이때, 상기 111 노드(21)는 로그 트리(log tree)구조 에서 루트 노드(root node)이다. 이어 연속적으로 이어지는 두 번째 공격 메시지는 처음의 공격 메시지와 비교하여 첫번째 트리의 7가지 종류의 통합 로그에 삽입이 가능한지를 판단하여 3개의 비교 특성(즉, 공격자 IP주소, 공격대상자 IP주소 및 공격종류) 중 하나 이상의 특성이 같을 경우 트리의 노드로 삽입하고 3가지 비교 특성이 모두 다를 경우 새로운 111 통합 로그(21)를 생성한다. 각각의 노드에는 현재까지 입력된 동일한 경고 메시지를 검사하는 카운트(count) 필드를 두어 중복되는 메시지의 경우 새로운 노드의 추가없이 카운트만 증가시킨다. 여기서 통합 메시지의 종류에 따라 관리해야 할 카운트 필드가 달라지는데 도 2에 도시된 바와 같이 110 통합 노드(22)는 자체의 카운트 필드가 있고 노드가 관리하는 하부 리스트에서 서로 다른 공격 종류의 메시지에 대한 카운트 필드를 따로 관리한다. 여기서 하부 리스트는 각기 다른 종류의 통합 메시지에 대해서 동일한 정보를 제외한 정보(3 bit중에서 0에 해당하는)를 구체적으로 기록하게 된다. 예컨대, 011 노드(25)(또는 통합로그)는 0에 해당하는 첫번째 정보(공격자 IP주소)를 하부 리스트로 관리하고, 100 노드(24)의 경우 0에 해당하는 두번째와 세번째 정보(공격대상 시스템의 IP주소와 공격종류)를 하부 리스트로 관리한다. 여기서 0이 두 개인 노드, 즉 100, 010, 001 노드(24,26,27)는 하부 리스트에서 관리하는 두 개의 정보에 대해 각각 카운트(count) 필드를 둔다. First, the preprocessor 120 generates a 111 aggregate log, that is, 111 node 21 for the first attack message. In this case, the 111 node 21 is a root node in a log tree structure. Subsequently, the second attack message successively compares with the first attack message and determines whether it can be inserted into the seven types of consolidated logs of the first tree, thereby determining three comparison characteristics (ie, attacker IP address, target IP address, and attack type). ) If one or more of the properties are the same, it is inserted into the node of the tree. If all three comparison properties are different, a new 111 integrated log 21 is created. Each node has a count field that checks the same warning message that has been entered so far, in the case of duplicate messages, only the count is incremented without adding a new node. Here, the count field to be managed varies according to the type of the unified message. As shown in FIG. 2, the 110 unified node 22 has its own count field and counts for messages of different attack types in the sub-list managed by the node. Manage fields separately. In this case, the lower list specifically records information (corresponding to 0 out of 3 bits) except for the same information for different types of integrated messages. For example, the 011 node 25 (or the integrated log) manages the first information (the attacker IP address) corresponding to 0 as a lower list, and the second and third information corresponding to 0 (the target system for the 100 node 24). IP address and attack type) are managed in the sub list. Here, two zero nodes, that is, 100, 010, and 001 nodes 24, 26, and 27 have a count field for two pieces of information managed in a lower list.

상기 각각의 노드 및 하부 리스트의 카운트(count) 필드를 증가시키는 과정은 다음과 같다. 먼저 새로운 공격 메시지가 입력될 때 로그 트리의 전체 111 노드(루트노드)(21)를 검색하여 3가지 특성 중 하나라도 일치하는 노드에 중복으로 삽 입이 된다. 이때 3가지 특성이 전부 같을 경우 111 노드(21)의 카운트 필드를 1만큼 증가시키고 첫번째 특성만 같을 경우 100 노드(24)의 카운트 필드를 1만큼 증가시킨다. 새로 삽입된 공격 메시지가 111 노드(21)가 아닌 경우는 카운트를 증가시킴과 동시에 하부 리스트의 해당하는 위치를 찾아 카운트를 증가시키거나 새로운 리스트의 멤버를 생성하게 된다. 주의할 점은 0이 두 개인 노드, 즉 001, 101, 100 노드(27,23,24)는 하부 리스트에서 0에 해당하는 특성에 대한 카운트를 따로 관리한다. The process of increasing the count field of each node and sub list is as follows. First, when a new attack message is input, all 111 nodes (root nodes) 21 of the log tree are searched, and any one of the three characteristics is repeatedly inserted into the matching node. In this case, when all three characteristics are the same, the count field of the 111 node 21 is increased by 1, and when only the first characteristic is the same, the count field of the 100 node 24 is increased by 1. If the newly inserted attack message is not the 111 node 21, the count is increased and at the same time, the corresponding position of the lower list is found and the count is increased or a member of the new list is created. Note that two zero nodes, that is, 001, 101, and 100 nodes 27, 23, and 24 separately manage counts for characteristics corresponding to zero in the lower list.

도 3은 본 발명에 따른 통합 로그 트리 구성과정을 보이는 흐름도이다.3 is a flowchart illustrating a process of constructing an integrated log tree according to the present invention.

본 발명의 통합 로그 트리(log tree) 구성에서, 침입탐지시스템(10)에서 전송된 침입 경고 메시지는 무한정 시간 동안 저장될 수는 없다. 즉 일정 시간이 경과 한 채 통합 로그로 생성되지 못한 경고 메시지는 폐기되는데 이를 바탕으로 트리를 재구성하게 된다. 로그 트리의 재구성은 상기 침입탐지시스템(10)의 경고 메시지가 전처리부(120)에 전송된 직후에 트리를 깊은 우선 탐색(Depth First Search)방법에 의해 탐색하여 관리자(30)가 설정한 시간이 지나도록 수정되지 않은 노드를 삭제하는 방법으로 진행된다. In the integrated log tree configuration of the present invention, the intrusion warning message transmitted from the intrusion detection system 10 cannot be stored for an indefinite time. In other words, a warning message that could not be generated as a consolidated log after a certain time is discarded, and the tree is reconstructed based on this. The reconstruction of the log tree is performed by searching the tree by the depth first search method immediately after the warning message of the intrusion detection system 10 is transmitted to the preprocessing unit 120 so that the time set by the administrator 30 is increased. It proceeds by deleting the node that has not been modified.

도 3을 참조하면, 침입탐지시스템(10)으로부터 새로운 경고 메시지(침입탐지 로그)를 수신하면(S300), 111 노드 중에서 동일한 특성을 갖는 노드가 존재하는지를 판단하여(S302), 존재하면 새로운 111 노드를 추가하고(S304), 존재하지 않으면 해당 노드를 관련 로그 트리에 중복하여 삽입한다(S306). 상기 삽입된 노드가 111 노드이면(S308), 111 노드의 카운트를 1만큼 증가시키고(S310), 상기 삽입된 노드가 111 노드가 아니면(S308), 0이 하나인 노드, 즉 110,101,011 노드인지를 판단한다(S312).Referring to FIG. 3, when a new warning message (intrusion detection log) is received from the intrusion detection system 10 (S300), it is determined whether a node having the same characteristics among the 111 nodes exists (S302). Add (S304), if not present, inserts the corresponding node in a related log tree in duplicate (S306). If the inserted node is 111 node (S308), the count of the 111 node is increased by 1 (S310), and if the inserted node is not 111 node (S308), it is determined whether the node is 0, that is, 110, 101,011 node. (S312).

상기 S312단계에서 상기 삽입된 노드가 110,101,011 노드이면, 상기 각 노드의 카운트를 1만큼 증가시킨 후(S314), 상기 각 노드의 하부 리스트가 동일한 특성을 갖는지 판단하여(S316), 동일한 특성을 가지면 해당 하부 리스트의 노드의 카운트를 1만큼 증가시키고(318), 동일한 특성을 갖지 않으면 새로운 리스트를 추가한다(S320).If the inserted node is 110, 101,011 nodes in step S312, the count of each node is increased by 1 (S314), and then it is determined whether the lower list of each node has the same characteristic (S316). The count of nodes in the lower list is increased by 1 (318), and if it does not have the same characteristics, a new list is added (S320).

상기 S312단계에서 상기 삽입된 노드가 110,101,011 노드가 아니면, 상기 삽입된 노드가 0이 두 개인 노드, 즉 001,010,100 노드인지를 판단한다(S322). 상기 삽입된 노드가 110,101,011 노드가 아니면 본 과정은 종료되고, 110,101,011 노드이면 상기 110,101,011 노드 각각의 카운트를 1만큼 증가시키고(S324), 상기 각 노드의 하부 리스트가 동일한 특성을 갖는지 판단한다(S326). 상기 각 노드의 하부 리스트가 동일한 특성을 가지면 해당 리스트 노드의 카운트를 1만큼 증가시키고(S328), 동일한 특성을 갖지 않으면 상기 각 하부 리스트 내부가 동일한 특성을 갖는지를 판단한다(S330).If the inserted node is not 110,101,011 nodes in step S312, it is determined whether the inserted node is a node having two zeros, that is, a 001,010,100 node (S322). If the inserted node is not a 110,101,011 node, the process is terminated. If the inserted node is a 110,101,011 node, the count of each of the 110,101,011 nodes is increased by 1 (S324), and it is determined whether the lower list of each node has the same characteristic (S326). If the lower list of each node has the same characteristic, the count of the corresponding list node is increased by 1 (S328). If the lower list of each node does not have the same characteristic, it is determined whether the inside of each lower list has the same characteristic (S330).

상기 S330단계에서 상기 각 하부 리스트 내부가 동일한 특성을 가지면 상기 해당 특성의 카운트를 1만큼 증가시키고(S332), 동일한 특성을 갖지 않으면 새로운 리스트를 추가한다(S334).If the inside of each of the lower list has the same characteristic in step S330, the count of the corresponding characteristic is increased by 1 (S332), and if it does not have the same characteristic, a new list is added (S334).

도 4는 본 발명에 따른 통합 경고 메시지의 카운트 필드를 이용하여 생성한 로그 트리의 예시도이다.4 is an exemplary diagram of a log tree generated using a count field of an integrated alert message according to the present invention.

도 4를 참조하면, 통합 경고 메시지는 통합 로그에서 노드의 종류와 동일하게 7가지 종류로 분류된다. 즉 111 통합 경고 메시지부터 001 통합 경고 메시지까지 성격에 따라 분류되고 각각은 서로 다른 임계치를 적용 받는다. 각 종류별로 경고 메시지가 생성되는 절차는 다음과 같다.Referring to FIG. 4, the merge warning message is classified into seven types, similar to the node type in the merge log. That is, from 111 integrated warning message to 001 integrated warning message, they are categorized according to their characteristics and each has different thresholds. The procedure of generating a warning message for each type is as follows.

(1) 111 통합 경고 메시지:(1) 111 integration warning message:

111 통합 경고 메시지는 세가지 특성(공격자 IP주소, 공격대상 시스템 IP주소 및 공격종류)이 모두 동일한 경고 메시지의 반복에 의해 발생한다. 도 4의 예시도에서 (1),(5),(6),(7),(11),(12),(13)의 카운트 필드가 111 통합 임계치를 넘으면 111 통합 경고 메시지를 발생시킨다.111 The integrated warning message is caused by repetition of the warning message with all three characteristics (the attacker's IP address, the target system's IP address, and the attack type). In the example diagram of FIG. 4, when the count fields of (1), (5), (6), (7), (11), (12), and (13) exceed the 111 integration threshold, a 111 integration warning message is generated.

(2) 110, 101, 011 통합 경고 메시지:(2) 110, 101, 011 unified warning message:

110 통합 경고 메시지는 공격자 IP주소와 공격대상 시스템 IP주소가 같고 공격의 종류만 다른 다수의 공격이 탐지되었을 때 생성되는 메시지로서, 도 4의 예시도에서 (2),(15),(17)의 카운트 필드가 110 통합 임계치를 넘으면 발생된다. The 110 integrated alert message is generated when multiple attacks with the same attacker IP address and the target system IP address and different types of attacks are detected. In the example of FIG. 4, (2), (15), (17) Occurs when the count field of s exceeds the 110 integration threshold.

또한, 상기 101 통합 경고 메시지는 공격자 IP주소와 공격종류가 같고 공격대상 시스템의 IP주소만 다른 다수의 공격이 탐지되었을 때 생성되는 메시지로서, 도 4의 예시도에서 (4),(16),(13)의 카운트 필드가 110 통합 임계치를 넘으면 발생 된다.In addition, the 101 integrated warning message is a message generated when a plurality of attacks having the same attack type as the attacker's IP address and different from only the IP address of the target system are detected, and (4) and (16), Occurs when the count field in (13) exceeds the 110 integration threshold.

또한, 011 통합 경고 메시지는 공격대상 시스템 IP주소와 공격 종류가 같고 공격자 IP주소만 다른 다수의 공격이 탐지되었을 때 생성되는 메시지로서, 도 4의 예시도에서서 (3),(14),(18)의 카운트필드가 110 통합 임계치를 넘으면 발생된다.In addition, the 011 unified warning message is generated when a plurality of attacks having the same attack type as the target system IP address and only the attacker's IP address are detected. In the example of FIG. 4, (3), (14), ( It is generated when the count field of 18) exceeds the 110 integration threshold.

(3) 100,010,001 통합 경고 메시지:(3) 100,010,001 integrated warning message:

100 통합 경고 메시지는 공격자 IP주소만 동일하고, 공격대상 시스템의 IP주소와 공격종류가 모두 다른 다수의 공격이 탐지 되었을 때 생성되는 메시지로서, 도 4의 예시도에서 (8)의 카운트 필드가 100 통합 임계치를 넘으면 발생한다.The 100 integrated warning message is generated when multiple attacks with only the attacker's IP address are the same and both the IP address and the attack type of the target system are detected. In the example of FIG. 4, the count field of (8) is 100. Occurs when the integration threshold is exceeded.

또한, 010 통합 경고 메시지는 공격대상 시스템 IP주소만 동일하고, 공격자 IP주소와 공격 종류가 모두 다른 다수의 공격이 탐지 되었을 때 생성되는 메시지로서, 도 4의 예시도에서 (10)의 카운트 필드가 100 통합 임계치를 넘으면 발생한다.In addition, the 010 unification warning message is generated when a plurality of attacks having only the same target IP address and different attacker IP addresses and attack types are detected. Occurs when the 100 integration threshold is exceeded.

또한, 001 통합 경고 메시지는 공격의 종류만 동일하고, 공격자 IP주소와 공격대상 시스템의 IP주소가 모두 다른 다수의 공격이 탐지 되었을 때 생성되는 메시지로서, 도 4의 예시도에서 (11)의 카운트 필드가 100 통합 임계치를 넘으면 발생한다.In addition, the 001 integrated warning message is a message generated when a plurality of attacks having only the same type of attack and different from both the attacker's IP address and the target system's IP address are detected. Occurs when the field exceeds the 100 integration threshold.

도 5는 본 발명의 일 실시예에 따른 통합 경고 메시지의 생성과정의 일례를 보이는 개념도이다.5 is a conceptual diagram illustrating an example of a process of generating an integrated alert message according to an embodiment of the present invention.

도 5에서는, 일례로서 111, 110, 100 세가지 경우에 대해서만 경고 메시지 생성과정을 나타낸다. 연관성(Correlation)과정을 통한 분석은 전처리(preprocessing)과정분석의 결과물인 통합 경고 메시지 중 111 통합 경고 메시지를 이용하여 연관 경고 메시지를 생성한다. 상기 연관성 분석에서는 운영체제 검사, 중요도검사, 관련 로그 유무 검사, 관련 로그 유무 검사 및 시스템 정보 조사를 수행한다.In FIG. 5, the warning message generation process is shown only for three cases of 111, 110, and 100 as an example. The analysis through the correlation process generates the association warning message using the 111 integration warning message among the integration warning messages that are the result of the preprocessing process analysis. In the correlation analysis, the operating system check, the importance check, the presence or absence of related logs, the presence or absence of related logs, and system information inspection are performed.

(1) 운영 체제 검사 : (1) operating system check:

통합 경고 메시지로 생성된 데이터베이스부(110)의 테이블을 검색하여 공격의 종류가 대상 공정제어시스템의 운영 체제에 적합하지 않은 공격은 연관 경고 메시지로 생성하지 않는다.An attack in which the type of attack is not suitable for the operating system of the target process control system by searching the table of the database unit 110 generated as the integrated warning message is not generated as the associated warning message.

(2) 중요도 검사 :(2) Importance check:

시스템 운영시에 시스템 관리자는 시스템에 결정적인 영향을 미치는 중요한 공격에 대한 중요도를 설정할 수 있다. 본 발명의 로그 분석장치는 시스템 관리자가 설정한 중요도에 따라 중요도가 있는 공정제어시스템에 대한 통합 경고 메시지를 연관 경고 메시지로 발생시킨다.In system operation, system administrators can set the importance of critical attacks that have a critical impact on the system. The log analysis apparatus of the present invention generates an integrated warning message for the process control system having the importance according to the importance set by the system administrator as the related warning message.

(3) 관련 로그 유무 검사 :(3) check for related logs:

중요도가 있고 운영체제가 일치하면 연관분석부(130)는 111 통합 경고 메시지의 공격 종류를 보고 관련된 로그가 해당 시스템에 남았는지를 검사한다. 만약 일정 시간 내에 관련된 로그가 남아 있을 경우 통합 경고 메시지를 연관 경고 메시지로 발생시킨다.If the importance is present and the operating systems match, the association analysis unit 130 checks the attack type of the 111 integrated warning message and checks whether the related log remains in the corresponding system. If the relevant log remains within a certain time, the integrated warning message is generated as the related warning message.

(4) 시스템 정보 조사 : (4) system information survey:

중요도가 있고 운영체제가 일치하면 시스템의 각종 정보(CPU Usage, Memory Usage, 네트워크 사용량) 등을 조사하여 CPU, Memory, 네트워크 사용량이 일정 수준 이상이면 통합 경고 메시지를 연관 경고 메시지로 발생시킨다.If the importance is high and the operating systems match, various information of the system (CPU Usage, Memory Usage, Network Usage) is examined and if the CPU, Memory, and network usage are above a certain level, an integrated warning message is generated as an associated warning message.

이상에서 설명한 상세한 설명 및 도면의 내용은, 본 발명의 바람직한 실시예에 한정하여 설명한 것이며, 본 발명이 이에 한정되는 것은 아니다. 본 발명의 기술적 사상의 범위 내에서 본 발명에 따른 구성요소를 치환, 변경 또는 삭제가 가능할 것이다.The detailed description and contents of the drawings described above are limited to the preferred embodiments of the present invention, and the present invention is not limited thereto. It will be possible to substitute, change or delete the component according to the present invention within the scope of the technical idea of the present invention.

따라서, 본 발명의 권리범위는 상기한 상세한 설명 및 도면에 의해 결정되는 것이 아니라 첨부된 특허청구범위에 의해 결정되어져야 할 것이다.Accordingly, the scope of the present invention should be determined by the appended claims rather than by the foregoing description and drawings.

이상에서 설명한 바와 같이, 본 발명의 보안 로그 분석방법에 의하면 제어시스템에서 발생하는 패킷과 네트워크 공격 패킷들로 인해 비슷하거나 동일하게 중복 발생하는 침입탐지 로그를 하나의 통합 로그 메시지로 통합함으로써, 관리자는 침입 탐지시스템에서 발생하는 모든 침입 탐지 로그를 일일이 분석하지 않고 통합된 메시지만 분석하므로 로그 분석에 소요되는 시간과 노력을 줄일 수 있는 이점이 있다.As described above, according to the security log analysis method of the present invention, by integrating intrusion detection logs that occur in the control system and similar or identical duplicates due to network attack packets into one integrated log message, It does not analyze every intrusion detection log generated by intrusion detection system but analyzes only the integrated message, which reduces the time and effort required for log analysis.

또한, 본 발명에 따르면 제어시스템의 운영체제, 시스템 로그, 시스템 자원 사용 정보 등과 통합 로그 메시지를 자동적으로 연관 분석함으로써, 관리자가 모든 침입 탐지 로그와 공정제어 및 계측시스템관련 정보의 관계를 일일이 분석하지 않고 실재의 침입을 자동적으로 찾아내어 대응할 수 있는 이점이 있다.In addition, according to the present invention, by automatically correlating and analyzing the integrated log message with the operating system, system log, system resource usage information, and the like of the control system, the administrator does not analyze the relationship between all intrusion detection logs and process control and measurement system related information. There is an advantage that it can automatically find and respond to intrusion of reality.

Claims (17)

삭제delete 침입탐지시스템으로부터 전송되는 침입탐지 로그 정보와 공정제어시스템으로부터 전송되는 로그 정보 및 자원 사용 정보를 저장하는 데이터베이스부;A database unit for storing intrusion detection log information transmitted from the intrusion detection system and log information and resource usage information transmitted from the process control system; 상기 데이터베이스부에 저장된 로그 정보를 검색하여 상기 침입탐지시스템으로부터 전송된 로그 중에서 동일 또는 유사한 다수의 침입탐지 로그를 하나의 메시지로 통합하여 통합 경고 메시지를 생성하고 관리자에게 보고하는 전처리부; 및 A pre-processing unit for retrieving log information stored in the database unit, integrating the same or similar multiple intrusion detection logs from one of the logs transmitted from the intrusion detection system into a single message to generate an integrated warning message, and to report it to an administrator; And 상기 통합 경고 메시지와 상기 데이터베이스부에 저장된 공정제어시스템의 자원 사용 정보와의 연관성을 분석하여 연관 경고 메시지를 생성하고 상기 관리자에게 보고하는 연관분석부;를 포함하고,And an association analysis unit configured to analyze an association between the integrated warning message and resource usage information of the process control system stored in the database unit, and generate an association warning message and report it to the manager. 상기 통합 경고 메시지는,The integration warning message, 공격자의 IP주소, 공격대상 시스템의 IP주소 및 공격종류에 따라 분류되는 공정제어시스템용 보안 로그 분석장치.Security log analysis device for process control system classified by attacker's IP address, target system's IP address and attack type. 제2항에 있어서, 상기 통합 경고 메시지는,The method of claim 2, wherein the integration warning message, 3비트의 정보로 구분하되, 첫번째 비트는 공격자의 IP주소, 두번째 비트는 공격대상 시스템의 IP주소, 세번째 비트는 공격의 종류를 나타내는 것을 특징으로 하는 공정제어시스템용 보안 로그 분석장치.It is divided into three bits of information, the first bit is the attacker's IP address, the second bit is the IP address of the target system, the third bit is a security log analysis device for a process control system, characterized in that the type of attack. 제3항에 있어서, 상기 각 비트는,The method of claim 3, wherein each bit, 0 또는 1로 표시되고, 해당 비트가 1인 경우 해당 IP주소 및 공격종류가 같음을 나타내고, 0인 경우 해당 IP주소 또는 공격종류가 다름을 나타내는 것을 특징으로 하는 공정제어시스템용 보안 로그 분석장치.0 or 1, and if the bit is 1, the corresponding IP address and attack type are the same, and if 0, the corresponding IP address or attack type is different. 제2항에 있어서, 상기 연관분석부는,The method of claim 2, wherein the association analysis unit, 상기 통합 경고 메시지의 정보와 상기 공정제어시스템의 운영체제, 중요도, 관련 로그 유무 및 시스템 정보와의 연관정보를 분석하여 연관 경고 메시지를 생성하는 것을 특징으로 하는 공정제어시스템용 보안 로그 분석장치.And a related warning message by analyzing the information of the integrated warning message, the operating system, the importance, the presence or absence of the relevant log, and the system information of the process control system, to generate a related warning message. 제5항에 있어서,The method of claim 5, 상기 통합 경고 메시지의 공격 종류가 상기 공정제어시스템의 운영 체제에 적합한 경우, 운영 체제에 대한 연관 경고 메시지를 생성하는 것을 특징으로 하는 공정제어시스템용 보안 로그 분석장치.And generating an associated warning message for the operating system if the attack type of the integrated warning message is suitable for the operating system of the process control system. 제5항에 있어서,The method of claim 5, 상기 통합 경고 메시지의 공정제어시스템에 대한 공격이 관리자에 의해 미리 설정된 공격의 중요도에 도달하는 경우 중요도에 대한 연관 경고 메시지를 생성하는 것을 특징으로 하는 공정제어시스템용 보안 로그 분석장치.And an associated warning message for importance when an attack on the process control system of the integrated warning message reaches a priority of an attack preset by an administrator. 제5항에 있어서,The method of claim 5, 상기 통합 경고 메시지의 공격 종류를 확인하여 관련된 로그가 상기 공정제어시스템에 일정 시간 동안 남아 있는 경우, 관련 로그 유무에 대한 연관 경고 메시지를 생성하는 것을 특징으로 하는 공정제어시스템용 보안 로그 분석장치.Checking the attack type of the integrated warning message, if the associated log remains in the process control system for a predetermined time, the security log analysis device for a process control system, characterized in that for generating an associated warning message for the presence or absence of the related log. 제5항에 있어서,The method of claim 5, 상기 공정제어시스템의 정보를 확인하여 시스템 사용량이 미리 설정된 기준치를 넘는 경우 시스템 정보에 대한 연관 경고 메시지를 생성하는 것을 특징으로 하는 공정제어시스템용 보안 로그 분석장치.Checking the information of the process control system security log analysis device for a process control system, characterized in that for generating a warning message associated with the system information when the system usage exceeds a predetermined reference value. 삭제delete 침입탐지시스템으로부터 전송된 침입 탐지 로그 및 공정제어시스템의 로그 정보를 저장하는 제1단계;A first step of storing intrusion detection logs transmitted from the intrusion detection system and log information of the process control system; 상기 저장된 침입 탐지 로그 중 동일 또는 유사한 침입 탐지 로그를 하나의 메시지로 통합하여 통합 경고 메시지를 생성하고 관리자에게 보고하는 제2단계; 및A second step of integrating the same or similar intrusion detection log among the stored intrusion detection logs into one message to generate an integrated warning message and report it to an administrator; And 상기 통합 경고 메시지와 상기 저장된 공정제어시스템의 로그 정보와의 연관성(correlation)을 분석하여 연관 경고 메시지를 생성하고 상기 관리자에게 보고하는 제3단계; 를 포함하고, A third step of analyzing a correlation between the integrated warning message and the log information of the stored process control system to generate a related warning message and report it to the manager; Including, 상기 통합 경고 메시지는,The integration warning message, 공격자의 IP주소, 공격대상 시스템의 IP주소 및 공격종류에 따라 분류되는 공정제어시스템용 보안 로그 분석방법.Security log analysis method for process control system classified by attacker's IP address, target system's IP address and attack type. 제11항에 있어서, 상기 통합 경고 메시지는,The method of claim 11, wherein the integration warning message, 3비트의 정보로 구분하되, 첫번째 비트는 공격자의 IP주소, 두번째 비트는 공격대상 시스템의 IP주소, 세번째 비트는 공격의 종류를 나타내는 것을 특징으로 하는 공정제어시스템용 보안 로그 분석방법.3 bit information, the first bit is the attacker's IP address, the second bit is the IP address of the target system, and the third bit represents the type of attack. 제12항에 있어서, 상기 각 비트는,The method of claim 12, wherein each bit, 0 또는 1로 표시되고, 해당 비트가 1인 경우 해당 IP주소 및 공격종류가 같음을 나타내고, 0인 경우 해당 IP주소 또는 공격종류가 다름을 나타내는 것을 특징으로 하는 공정제어시스템용 보안 로그 분석방법.0 or 1, and if the bit is 1, the corresponding IP address and attack type are the same, and if 0, the corresponding IP address or attack type is different. 제11항에 있어서, 상기 제2단계는,The method of claim 11, wherein the second step, 상기 저장된 다수의 침입 탐지 로그 중 제1로그를 로그 트리의 루트노드로 구성하는 제4단계;A fourth step of configuring a first log of the stored plurality of intrusion detection logs as a root node of a log tree; 제n로그(n≥2,정수) 및 상기 제1로그의 특성정보를 비교하는 제5단계;A fifth step of comparing the nth log (n ≧ 2, integer) and the characteristic information of the first log; 상기 비교결과, 적어도 하나의 특성이 동일하면 상기 제2로그를 제1로그의 하부 노드로 구성하고, 특성이 다르면 상기 제n노드를 새로운 로그 트리의 루트 노드로 구성하는 제6단계; 및A sixth step of configuring the second log as a lower node of the first log when at least one characteristic is the same and configuring the nth node as a root node of a new log tree when the characteristics are different; And 상기 각 노드를 하나의 통합 경고 메시지로 생성하는 제7단계; 를 포함하는 것을 특징으로 하는 공정제어시스템용 보안 로그 분석방법.A seventh step of generating each node as one integrated warning message; Security log analysis method for a process control system comprising a. 제14항에 있어서, 상기 침입 탐지 로그의 특성정보는,The method of claim 14, wherein the characteristic information of the intrusion detection log, 각각 1비트의 공격자의 IP주소, 공격대상 시스템의 IP주소 및 공격종류를 포함하는 것을 특징으로 하는 공정제어시스템용 보안 로그 분석방법.Security log analysis method for a process control system, characterized in that each containing a 1-bit attacker's IP address, the target system's IP address and the type of attack. 제14항에 있어서, 상기 제6단계 이후에,The method of claim 14, wherein after the sixth step, 상기 제n로그가 이미 로그트리의 노드로 구성된 특정 로그와 동일한 경우, 상기 제n로그의 개수만큼 상기 특정 로그의 카운트(count)를 증가시키는 단계를 더 포함하는 것을 특징으로 하는 공정제어시스템용 보안 로그 분석방법. If the n-th log is the same as a specific log already configured as a node of the log tree, increasing the count of the specific log by the number of the n-th log. Log analysis method. 제11항에 있어서, 상기 통합 경고 메시지는,The method of claim 11, wherein the integration warning message, 111, 110, 101, 100, 011, 010 및 001 통합 경고 메시지를 포함하며, 상기 111 통합 경보 메시지는 공격자 IP주소, 공격대상 시스템 IP주소 및 공격종류가 모두 동일한 침입 탐지 로그의 카운트(count)가 기설정된 제1임계치를 넘는 경우에 생성되고, 상기 110, 101 및 011 통합 경고 메시지는 공격자 IP주소, 공격대상 시스템 IP주소 및 공격종류 중 두 개만 동일한 침입 탐지 로그의 카운트(count)가 기설정된 제2임계치를 넘는 경우에 생성되며, 상기 100, 010, 001 통합 경고 메시지는 공격자 IP주소, 공격대상 시스템 IP주소 및 공격종류 중 하나만 동일한 침입 탐지 로그의 카운트(count)가 기설정된 제3임계치를 넘는 경우에 생성되는 것을 특징으로 하는 공정제어시스템용 보안 로그 분석방법. 111, 110, 101, 100, 011, 010, and 001 integrated alert messages, wherein the 111 integrated alert message has a count of the same intrusion detection log with the same attacker IP address, target system IP address, and attack type. The 110, 101, and 011 integrated warning message is generated when the first threshold is exceeded, and only two of the attacker IP address, the target system IP address, and the attack type have the same count in the intrusion detection log. Generated when two thresholds are exceeded, the integrated alert message 100, 010, 001 indicates that the count of the intrusion detection log equal to only one of the attacker IP address, the target system IP address, and the attack type exceeds the preset third threshold value. Security log analysis method for a process control system, characterized in that generated in the case.
KR1020050130060A 2005-12-26 2005-12-26 Security log analysis device and method for process control system Expired - Fee Related KR100758476B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050130060A KR100758476B1 (en) 2005-12-26 2005-12-26 Security log analysis device and method for process control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050130060A KR100758476B1 (en) 2005-12-26 2005-12-26 Security log analysis device and method for process control system

Publications (2)

Publication Number Publication Date
KR20070068202A KR20070068202A (en) 2007-06-29
KR100758476B1 true KR100758476B1 (en) 2007-09-12

Family

ID=38366688

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050130060A Expired - Fee Related KR100758476B1 (en) 2005-12-26 2005-12-26 Security log analysis device and method for process control system

Country Status (1)

Country Link
KR (1) KR100758476B1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002082849A (en) 2000-09-07 2002-03-22 Ntt Communications Kk Access log monitoring support method and system, and integrated monitoring device
JP2002318734A (en) 2001-04-18 2002-10-31 Teamgia:Kk Method and system for processing communication log
KR20030035142A (en) * 2001-10-30 2003-05-09 주식회사 이글루시큐리티 Method for Providing Enterprise Security Management Service
JP2003233417A (en) 2001-12-05 2003-08-22 Nippon Telegr & Teleph Corp <Ntt> Data communication device and method, data communication program and recording medium recording the program
JP2003256245A (en) 2002-02-26 2003-09-10 Xerox Corp Method for providing data logging in modular device and its modular device
KR20060042788A (en) * 2004-11-10 2006-05-15 한국전자통신연구원 Security situation analysis method and graph device using graph representation of network event

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002082849A (en) 2000-09-07 2002-03-22 Ntt Communications Kk Access log monitoring support method and system, and integrated monitoring device
JP2002318734A (en) 2001-04-18 2002-10-31 Teamgia:Kk Method and system for processing communication log
KR20030035142A (en) * 2001-10-30 2003-05-09 주식회사 이글루시큐리티 Method for Providing Enterprise Security Management Service
JP2003233417A (en) 2001-12-05 2003-08-22 Nippon Telegr & Teleph Corp <Ntt> Data communication device and method, data communication program and recording medium recording the program
JP2003256245A (en) 2002-02-26 2003-09-10 Xerox Corp Method for providing data logging in modular device and its modular device
KR20060042788A (en) * 2004-11-10 2006-05-15 한국전자통신연구원 Security situation analysis method and graph device using graph representation of network event

Also Published As

Publication number Publication date
KR20070068202A (en) 2007-06-29

Similar Documents

Publication Publication Date Title
JP4364901B2 (en) Attack database structure
CN111277570A (en) Data security monitoring method and device, electronic equipment and readable medium
US9191398B2 (en) Method and system for alert classification in a computer network
US20140325647A1 (en) Methods and systems for internet protocol (ip) packet header collection and storage
EP1741223B1 (en) Method, apparatus and computer program for distinguishing relevant network security threats using comparison of refined intrusion detection audits and intelligent security analysis
US20150317476A1 (en) Distributed Pattern Discovery
CN117040932B (en) A network attack source tracing and rapid evidence collection method and system
CN114189361A (en) Situation awareness method, device and system for defending threats
Shalaginov et al. Malware beaconing detection by mining large-scale dns logs for targeted attack identification
US20180083990A1 (en) Network Security Device and Application
CN111835681A (en) Large-scale abnormal flow host detection method and device
Wang et al. An end-to-end method for advanced persistent threats reconstruction in large-scale networks based on alert and log correlation
CN111885088A (en) Log monitoring method and device based on block chain
CN113132335A (en) Virtual transformation system and method, network security system and method
Paudel et al. Detecting the Onset of a Network Layer DoS Attack with a Graph-Based Approach.
KR100758476B1 (en) Security log analysis device and method for process control system
CN114006719B (en) AI verification method, device and system based on situation awareness
KR100656340B1 (en) Abnormal traffic information analysis device and method
Al-Mamory et al. IDS alarms reduction using data mining
Shin et al. Alert correlation analysis in intrusion detection
CN106330478A (en) Trap message processing method and device
CN116827698B (en) Network gateway flow security situation awareness system and method
CN119109665B (en) Method, device, electronic device and storage medium for determining neighbor IP
CN119383008B (en) Data flow detection method, device, computer equipment and storage medium
US20250286899A1 (en) Identifying unauthorized entities from network traffic

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

D13-X000 Search requested

St.27 status event code: A-1-2-D10-D13-srh-X000

D14-X000 Search report completed

St.27 status event code: A-1-2-D10-D14-srh-X000

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

E13-X000 Pre-grant limitation requested

St.27 status event code: A-2-3-E10-E13-lim-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

G170 Re-publication after modification of scope of protection [patent]
PG1701 Publication of correction

St.27 status event code: A-5-5-P10-P19-oth-PG1701

Patent document republication publication date: 20080418

Republication note text: Request for Correction Notice (Document Request)

Gazette number: 1007584760000

Gazette reference publication date: 20070912

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 4

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 5

FPAY Annual fee payment

Payment date: 20120903

Year of fee payment: 6

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 6

FPAY Annual fee payment

Payment date: 20130909

Year of fee payment: 7

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 7

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 8

FPAY Annual fee payment

Payment date: 20150907

Year of fee payment: 9

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 9

LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee

St.27 status event code: A-4-4-U10-U13-oth-PC1903

Not in force date: 20160907

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

PC1903 Unpaid annual fee

St.27 status event code: N-4-6-H10-H13-oth-PC1903

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20160907

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000