KR102189127B1 - 행위 기반 룰 처리 장치 및 그 처리 방법 - Google Patents
행위 기반 룰 처리 장치 및 그 처리 방법 Download PDFInfo
- Publication number
- KR102189127B1 KR102189127B1 KR1020180152189A KR20180152189A KR102189127B1 KR 102189127 B1 KR102189127 B1 KR 102189127B1 KR 1020180152189 A KR1020180152189 A KR 1020180152189A KR 20180152189 A KR20180152189 A KR 20180152189A KR 102189127 B1 KR102189127 B1 KR 102189127B1
- Authority
- KR
- South Korea
- Prior art keywords
- rule
- log
- block
- real
- time
- Prior art date
Links
- 238000012545 processing Methods 0.000 title claims abstract description 116
- 238000000034 method Methods 0.000 title claims description 40
- 230000006399 behavior Effects 0.000 claims abstract description 46
- 238000003672 processing method Methods 0.000 claims abstract description 12
- 238000010606 normalization Methods 0.000 claims description 45
- 239000003795 chemical substances by application Substances 0.000 claims description 11
- 238000013507 mapping Methods 0.000 claims description 8
- 238000013473 artificial intelligence Methods 0.000 abstract description 9
- 230000002159 abnormal effect Effects 0.000 abstract description 6
- 238000004458 analytical method Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 6
- 238000010223 real-time analysis Methods 0.000 description 2
- 230000001934 delay Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
상기 목적을 달성하기 위해, 본 발명에 따른 행위 기반 룰 처리 장치는, 복수의 에이전트로부터 룰 처리에 사용되는 로그를 수집함과 아울러 수집된 상기 로그를 저장하는 로그 수집부와, 상기 로그의 내용을 미리 정해진 값들의 조합에 따라 분류하는 룰 블록(Rule Block)과, 상기 로그의 미리 정해진 메타데이터값들을 분류하는 조건 검사 블록(Condition Block)을 포함함과 아울러 상기 룰 블록과, 상기 조건 검사 블록의 조합인 상기 로그의 행위들을 룰로 미리 정의하는 실시간 룰 처리부를 포함하며, 상기 로그 수집부에 저장되어 있는 상기 로그를 실시간 분산 스트리밍에 의해 불러온다.
Description
도 2는 룰 블록과 행위를 나타내는 도면.
도 3은 룰 처리를 나타내는 도면.
도 4는 본 발명에 따른 행위 기반 룰 처리 방법의 처리 흐름을 나타내는 플로어 차트.
100 : 로그 수집부
200 : 실시간 룰 처리부
300 : 실시간 분산 스트리밍
1000 : 행위 기반 룰 처리 장치
Claims (10)
- 복수의 에이전트로부터 룰 처리에 사용되는 로그를 수집함과 아울러 수집된 상기 로그를 저장하는 로그 수집부와,
상기 로그의 내용을 미리 정해진 값들의 조합에 따라 분류하는 룰 블록(Rule Block)과, 상기 로그의 미리 정해진 메타데이터값들을 분류하는 조건 검사 블록(Condition Block)을 포함함과 아울러 상기 룰 블록과, 상기 조건 검사 블록의 조합인 상기 로그의 행위들을 룰로 미리 정의하는 실시간 룰 처리부를 포함하며,
상기 로그 수집부에 저장되어 있는 상기 로그를 실시간 분산 스트리밍에 의해 불러오고,
상기 실시간 분산 스트리밍은,
불러오는 상기 로그를 데이터 내용 또는 구분자에 따라 분류하는 제 1 정규화와,
상기 제 1 정규화의 결과로부터 상기 로그의 내용이 상기 룰 블록에 해당하는지 검사하는 제 2 정규화를 각각 수행하는 정규화 과정을 포함하며,
상기 로그의 내용이 상기 룰 블록에 해당할 경우,
상기 실시간 분산 스트리밍은 상기 룰 블록에 해당하는 블록과, 상기 조건 검사 블록에 해당하는 블록을 조합하여 상기 로그의 행위를 출력하고, 상기 행위에 대한 사용자 매핑(상기 행위를 발생한 사용자를 식별)을 수행하며,
상기 실시간 분산 스트리밍과, 상기 실시간 룰 처리부의 룰 처리는 메모리 상에서 수행되는 행위 기반 룰 처리 장치. - 삭제
- 삭제
- 삭제
- 제 1 항에 있어서,
상기 실시간 분산 스트리밍은 상기 정규화 과정을 병렬로 분산 처리하고,
상기 실시간 룰 처리부는 상기 행위를 사용자별 또는 행위별로 멀티 쓰레딩(multi-threading) 처리하는 행위 기반 룰 처리 장치. - 제 1 항에 있어서,
상기 실시간 룰 처리부는 상기 룰을 처리시 사용자별 행위들에 버퍼(buffer)를 두고 처리하는 행위 기반 룰 처리 장치. - 제 1 항에 있어서,
상기 실시간 룰 처리부는 상기 로그의 행위가 미리 정의한 상기 룰 블록의 내용과, 상기 조건 검사 블록의 메타데이터와 일치하는지를 검사하는 행위 기반 룰 처리 장치. - 로그 수집부에 의해 수집되며 룰 처리에 사용되는 로그의 내용을 미리 정해진 값들의 조합에 따라 분류하는 룰 블록과, 상기 로그의 미리 정해진 메타데이터값들을 분류하는 조건 검사 블록을 포함함과 아울러 상기 룰 블록과, 상기 조건 검사 블록의 조합인 상기 로그의 행위들을 룰로 미리 정의하는 실시간 룰 처리부에 의해 실시간으로 룰 처리가 이루어지도록 상기 로그를 가공하는 행위 기반 룰 처리 방법으로서,
상기 로그 수집부에 의해 수집되는 상기 로그를 실시간 분산 스트리밍이 불러오는 제 1 단계(S100)와,
상기 로그 수집부로부터 불러온 상기 로그를 상기 실시간 분산 스트리밍의 정규화 과정에 의해 정규화하는 제 2 단계(S200)와,
상기 실시간 분산 스트리밍에 의해 정규화된 상기 로그를 상기 룰 블록과 매핑하여 상기 로그의 사용자 식별(사용자 매핑)을 수행하는 제 3 단계(S300)와,
매핑된 상기 로그를 상기 실시간 룰 처리부에 의해 룰 처리하는 제 4 단계(S400)를 포함하며,
상기 정규화 과정은,
불러오는 상기 로그를 데이터 내용 또는 구분자에 따라 분류하는 제 1 정규화와,
상기 제 1 정규화의 결과로부터 상기 로그의 내용이 상기 룰 블록에 해당하는지 검사하는 제 2 정규화를 각각 수행하고,
상기 로그의 내용이 상기 룰 블록에 해당할 경우,
상기 실시간 분산 스트리밍은 상기 룰 블록에 해당하는 블록과, 상기 조건 검사 블록에 해당하는 블록을 조합하여 상기 로그의 행위를 출력하고,
상기 실시간 룰 처리부는 상기 로그의 행위가 미리 정의한 상기 룰 블록의 내용과, 상기 조건 검사 블록의 메타데이터와 일치하는지를 검사하며,
상기 실시간 분산 스트리밍과, 상기 실시간 룰 처리부의 룰 처리는 메모리 상에서 수행되는 행위 기반 룰 처리 방법.
- 삭제
- 삭제
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180152189A KR102189127B1 (ko) | 2018-11-30 | 2018-11-30 | 행위 기반 룰 처리 장치 및 그 처리 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180152189A KR102189127B1 (ko) | 2018-11-30 | 2018-11-30 | 행위 기반 룰 처리 장치 및 그 처리 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20200066428A KR20200066428A (ko) | 2020-06-10 |
KR102189127B1 true KR102189127B1 (ko) | 2020-12-10 |
Family
ID=71087092
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180152189A KR102189127B1 (ko) | 2018-11-30 | 2018-11-30 | 행위 기반 룰 처리 장치 및 그 처리 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102189127B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024085275A1 (ko) * | 2022-10-18 | 2024-04-25 | 쿠팡 주식회사 | 이상 사용자를 검출하는 방법 및 이를 지원하는 전자 장치 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112104628B (zh) * | 2020-09-04 | 2022-07-26 | 南京林科斯拉信息技术有限公司 | 一种自适应特征规则匹配的实时恶意流量检测方法 |
KR102280845B1 (ko) * | 2020-11-24 | 2021-07-22 | 한국인터넷진흥원 | 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070039049A1 (en) | 2005-08-11 | 2007-02-15 | Netmanage, Inc. | Real-time activity monitoring and reporting |
JP2007233661A (ja) * | 2006-02-28 | 2007-09-13 | Intelligent Wave Inc | ログ統合管理システム及びログ統合管理方法 |
US20180139220A1 (en) | 2016-11-14 | 2018-05-17 | Bank Of America Corporation | Shared capability system |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101559206B1 (ko) * | 2013-11-29 | 2015-10-13 | 건국대학교 산학협력단 | 로그 데이터 처리 방법 및 이를 수행하는 시스템 |
KR101818006B1 (ko) * | 2016-06-28 | 2018-02-21 | 한국전자통신연구원 | 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법 및 이를 이용한 장치 |
-
2018
- 2018-11-30 KR KR1020180152189A patent/KR102189127B1/ko active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070039049A1 (en) | 2005-08-11 | 2007-02-15 | Netmanage, Inc. | Real-time activity monitoring and reporting |
JP2007233661A (ja) * | 2006-02-28 | 2007-09-13 | Intelligent Wave Inc | ログ統合管理システム及びログ統合管理方法 |
US20180139220A1 (en) | 2016-11-14 | 2018-05-17 | Bank Of America Corporation | Shared capability system |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024085275A1 (ko) * | 2022-10-18 | 2024-04-25 | 쿠팡 주식회사 | 이상 사용자를 검출하는 방법 및 이를 지원하는 전자 장치 |
Also Published As
Publication number | Publication date |
---|---|
KR20200066428A (ko) | 2020-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108156131B (zh) | Webshell检测方法、电子设备和计算机存储介质 | |
US10375102B2 (en) | Malicious web site address prompt method and router | |
EP4049429B1 (en) | Intelligent signature-based anti-cloaking web recrawling | |
US8051484B2 (en) | Method and security system for indentifying and blocking web attacks by enforcing read-only parameters | |
CN108875366A (zh) | 一种面向php程序的sql注入行为检测系统 | |
US20090164502A1 (en) | Systems and methods of universal resource locator normalization | |
KR102225040B1 (ko) | 인공 지능 기반의 통합 로그 관리 방법 및 그 시스템 | |
CN113785289B (zh) | 动态生成一组api端点的系统和方法 | |
KR102189127B1 (ko) | 행위 기반 룰 처리 장치 및 그 처리 방법 | |
CN104579773A (zh) | 域名系统分析方法及装置 | |
CN113949577A (zh) | 一种应用于云服务的数据攻击分析方法及服务器 | |
US20230353585A1 (en) | Malicious traffic identification method and related apparatus | |
CN106844640A (zh) | 一种网页数据分析处理方法 | |
CN113271292B (zh) | 一种基于词向量的恶意域名集群检测方法及装置 | |
US10785236B2 (en) | Generation of malware traffic signatures using natural language processing by a neural network | |
CN116186759A (zh) | 一种面向隐私计算的敏感数据识别与脱敏方法 | |
CN114650176A (zh) | 钓鱼网站的检测方法、装置、计算机设备及存储介质 | |
CN114598597B (zh) | 多源日志解析方法、装置、计算机设备及介质 | |
CN117725575A (zh) | 一种基于中间件访问日志的资产管理方法 | |
CN116599743A (zh) | 4a异常绕行检测方法、装置、电子设备及存储介质 | |
CN117081801A (zh) | 网站的内容管理系统的指纹识别方法、装置及介质 | |
CN110061975A (zh) | 一种基于离线流量包解析的仿冒网站识别方法及系统 | |
CN112202763B (zh) | 一种ids策略生成方法、装置、设备及介质 | |
CN111475380B (zh) | 一种日志分析方法和装置 | |
CN115392238A (zh) | 一种设备识别方法、装置、设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20181130 |
|
PA0201 | Request for examination | ||
PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20200117 Patent event code: PE09021S01D |
|
PG1501 | Laying open of application | ||
E701 | Decision to grant or registration of patent right | ||
PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20201026 |
|
GRNT | Written decision to grant | ||
PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20201203 Patent event code: PR07011E01D |
|
PR1002 | Payment of registration fee |
Payment date: 20201204 End annual number: 3 Start annual number: 1 |
|
PG1601 | Publication of registration | ||
PR1001 | Payment of annual fee |
Payment date: 20241209 Start annual number: 5 End annual number: 5 |