DOI QR코드

DOI QR Code

Efficient Fine-grained Log Auditing using Correlation Method based on Secure OS

Secure OS 기반에서 상호연관 기법을 통한 효과적 상세 로그 감사

  • 구하성 (한서대학교 컴퓨터정보공학과) ;
  • 박태규 (한서대학교 컴퓨터정보공학과)
  • Received : 2011.08.31
  • Accepted : 2011.10.14
  • Published : 2011.11.30

Abstract

This paper presents the effective and detailed secure monitoring method being used based on Secure OS. For this, the detailed secure log of process, object, user's command and database query in task server are collected by 3 kinds of log collecting module. The log collecting modules are developed by ourselves and contained as constituents of security system. Secure OS module collects process and system secure log of objective unit, Backtracker module collects user's command session log, SQLtracker module collects database query in details. When a system auditor monitors and traces the behaviour of specified user or individual user, the mutual connection method between the secure logs can support detailed auditing and monitering effectively.

본 논문은 Secure OS 기반으로 운용되는 중요 임무 서버에서 효율적인 상세 보안 감사 방법을 다룬다. 이를 위해서 임무 서버들 내에서 프로세스, 객체, 사용자 명령, DB 쿼리 수준에서의 상세한 보안 로그가 3종의 로그 수집 모듈에 의하여 수집된다. 로그 수집 모듈은 자체 개발한 것으로서, 보안 시스템의 한 구성 요소로 포함되어 있다. Secure OS의 모듈은 프로세스와 객체 단위의 시스템 보안 로그를, BackTracker의 모듈은 사용자 수행명령 세션 로그를, SQLTracker의 모듈은 데이터베이스 쿼리를 상세한 수준으로 수집한다. 특정 사용자 혹은 객체에 대한 사용 행위를 감사하고 추적하고자 할 때, 본 보안 로그 간의 상호연관 기법은 상세 감사 및 모니터링 업무를 효과적으로 지원할 수 있다.

Keywords

References

  1. 지식경제부, '보안 OS기반 SOX 대응 내부통제 시스템 개발', 티에스온넷(주), 2009.
  2. Splunk Inc., White paper: Splunk for Security, 2011.
  3. ArcSight Inc., White paper: Using Advanced Event Correlation to improve Enterprise Security, Compliance and Business Posture, 2011.
  4. Wipro Technologies, White paper: Understanding Event Correlation and the Need for Security Information management, 2011.
  5. 박태규, 임연호, "커널 기반의 보안 리눅스 운영체제 구현", 정보보호학회, 2001.
  6. Definition of Normalization. Web site http://www.dmreview.com/glossary/n.html
  7. 김성락, "상호연관성 분석을 이용한 웹서버 보안관리 시스템", 한국컴퓨터정보학회 논문지, 2004.
  8. 황현욱, 김민수, 노봉남, "감사로그 상관관계를 통한 호스트기반의 침입탐지시스템", 정보보호학회 논문지, 2003.6.
  9. Definition of correlation. Web site http://www.ojp.usdoj.gov/BJA/evaluation/glossary/glossary_c.htm
  10. netIQ John Q, W.2001. White Paper. Security event correlation: Where are we now? Electronic version found at Development," Communications of the ACM, 40, pp. 71-79, May 1997.
  11. Robert Rinnan, "Benefits of Centralized Log file Correlation", Gjovik University College, 2005.
  12. Forte, DV.2004. The "art of log correlation". http://www.infosecsa.co. za /proceedings2004/006.pdf
  13. Cristina Abad et al, "Log correlation for intrusion detection: A proof of concept", 19th Annual Computer Security Applications Conference, Las Vegas, 2003.