Embed Size (px)
Citation preview
(19) 민 특허청(KR)(12) 공개특허공보(A)
(11) 공개 10-2009-0100344
(43) 공개 2009 09월23
(51) Int. Cl.
G06F 17/30 (2006.01) G06F 21/00 (2006.01)(21) 원 10-2009-7011683
(22) 원 2007 12월28
심사청 없
(85) 역문 2009 06월05
(86) 원 PCT/US2007/089027
(87) 공개 WO 2008/083267
공개 2008 07월10
(30) 우 주
60/882,289 2006 12월28 미 (US)
(71) 원
사 트, 티드
미 리포니 95014 쿠 티 리 웨 5
(72)
후 웨
미 95014 리포니 주 쿠 티 리 웨 5사 트, 티드 내
탕 웬
미 95014 리포니 주 쿠 티 리 웨 5사 트, 티드 내
트겐 리스티 에 .
미 95014 리포니 주 쿠 티 리 웨 5사 트, 티드 내
(74) 리
문 상, 문
체 청 수 : 18
(54) 컴퓨 트워 보 보 , 그 과 과 질 지원
(57)
시스 트 수신 매니 포 다. 수신 는 그 수신 고 처리 여
"청 " 다. 매니 는 청 수신 고 청 가 질 수 도 다. 수신
는 트 는 내 에 타 는 타 포 다. 타
는 수신 연 고 식별 , 내 트 수, 각각 " 심 드"에 , 내 든
트에 걸쳐 그 드 값 타내는 값 값 포 다. 청 는 타
내 포 다. 타 는 트 질 , 검색 스 능 다.
시스 보 보/ 트 리(SIEM) 시스 과 께 수 다.
도
- 1 -
공개특허 10-2009-0100344
특허청
청 1
상 드 포 는 복수 트 포 는 그 수신 는 단계;
상 복수 트 내 각각 트에 ,
상 트 내에 는 단계;
상 내 에 보 포 는 타 갱신 는 단계 포 고,
상 내 에 보는 상 내에 든 상 트 1 드 값 타내는
1 값 포 는 그 처리 .
청 2
1 에 어 ,
상 내 에 보는 상 내에 든 상 트 상 1 드 값 타내
는 1 값 포 는 그 처리 .
청 3
1 에 어 ,
상 내 에 보는 상 내에 든 상 트 2 드 값 타내는
2 값 포 는 그 처리 .
청 4
1 에 어 ,
상 내 에 보는 상 내에 트 수 포 는 그 처리 .
청 5
1 에 어 ,
1 트리거(trigger) 건에 , 상 타 내 에 고, 또 상 내 에
청 생시 는 단계 포 는 그 처리 .
청 6
5 에 어 ,
상 1 트리거 건 사 계 (threshold)에 거 타 웃 도우(timeout window)에
는 그 처리 .
청 7
5 에 어 ,
2 트리거 건에 , 상 청 에 사 공간 재 (reclaim) 는 그
처리 .
청 8
7 에 어 ,
상 2 트리거 건 상 청 연 보 책에 는 그 처리 .
청 9
- 2 -
공개특허 10-2009-0100344
7 에 어 ,
상 2 트리거 건 스 공간 사 계 에 거 상 청 보 는 시간에 는
그 처리 .
청 10
1 에 어 ,
상 복수 트 내 각각 트에 ,
상 트가 수신 시각 결 는 단계;
상 트가 수신 시각 타내는 타 스탬 상 내에 는 단계 포 는 그
처리 .
청 11
1 에 어 ,
상 내에 상 트 는 단계는 상 트 상 내 에 가 는 단계 포 는
그 처리 .
청 12
1 에 어 ,
상 타 내 상 내 포 는 청 생시 는 단계
포 는 그 처리 .
청 13
12 에 어 ,
상 청 는 시그 처(file signature) 또는 식별 포 는 그 처리 .
청 14
12 에 어 ,
상 청 는 상 내 시지 다 스트(digest) 포 는 그 처리 .
청 15
12 에 어 ,
상 검색 어 루어진 검색 어 트 포 는 검색 질 수신 는 단계;
상 검색 어 트 , 상 타 에 포 는 보 는 상 검색 어 식별
는 단계;
각각 청 에 , 상 식별 검색 어 상 청 내에 포 상 타
내 과 상 청 검색 는 단계 포 는 그 처리 .
청 16
15 에 어 ,
상 식별 검색 어 만 는 각각 청 에 ,
상 청 복수 트 리 는 단계;
상 복수 트 내 각각 트에 , 상 검색 어 트 상 트 는 단계 포
는 그 처리 .
- 3 -
공개특허 10-2009-0100344
청 17
그 처리 는 수 컴퓨 그 드 포 는 컴퓨 독 가능 매체
포 는 컴퓨 그 에 어 ,
상 드 포 는 복수 트 포 는 그 수신 는 단계;
상 복수 트 내 각각 트에 ,
상 트 내에 는 단계;
상 내 에 보 포 는 타 갱신 는 단계 포 고,
상 내 에 보는 상 내에 든 상 트 1 드 값 타내는
1 값 포 는 컴퓨 그 .
청 18
상 드 포 는 복수 트 포 는 그 수신 도 수신 듈;
상 복수 트 내 각각 트에 , 상 트 내에 도 듈;
상 복수 트 내 각각 트에 , 상 내 에 보 포 는 타
갱신 도 타 듈 포 고,
상 내 에 보는 상 내에 든 상 트 1 드 값 타내는
1 값 포 는 그 처리 .
술
본 , 포 는 보 보/ 트 리(SIM 또는 SIEM)에 , 체 는 보 보/ 트<1>
과 질 지원 는 것에 다.
경 술
보 보/ 트 리(SIM 또는 SIEM) 는, 1) 트워 트워킹 스 트<2>
워 동 /또는 스 동 타내는 수집 고 2) 그 (수집 ) 여 보 강
는 것과 다. 들 , 그 (수집 ) 여, 트워 또는 트워킹 스에
공격 식별 고 어 사 또는 계에 책 는지 결 수 다. 공격 진 경우, 책
수 어 공격 거 공격에 상 수 다. 수집 는 트워
킹 스에 생 는 시지( 트, 경고, 또는 경보 등) 또는 그 내 엔트리(entry)에
다. 트워킹 스 는 어월, 탐지 시스 포 다.
각각 시지 또는 그 엔트리("event")는 후 사 도 다. 트는 다 식<3>
직 수 다. 각각 직 트 , 트 검색, 트 삭
는 경우에 각각 단 다.
시 리 고 보 , 각각 트는 트 수신 시각 는 포 다. 트 수신 시<4>
각 값 검색에 게 므 , 트 트 수신 시각에 여 트 다.
들 , 매 매 (minute)에 생 다. 그 트 , 그 트 트 수
신 시각 결 다. 그 트 수신 시각 에 당 는 그 에 트 가 다.
후 트들 도착 , 트들 트 수신 시각들 상 단 (monotonically) 가 것<5>
다. 것 후 트 가 동 만 다는 것 미 다. 매체 탐색 없
다. 것 트 게 다. 트 수신 시각에 여 트 검
색 , 단 1 트가 식별 , 후 트들 매체 순 검색 다. 다시 말
지만, 탐색 없다. 것 트 수신 시각에 트 검색 게 다.
가 트 삭 , 가 들 삭 다. 상 가
- 4 -
공개특허 10-2009-0100344
삭 , 매체는 각 (fragmentation) 지 것 다. 것 트 삭
게 다.
러 근 식에 문 는 트 수신 시각 에 여 트 검색 는 것<6>
시간 매우 시 다는 것 다. 들 , 각각 트는 그 트 생시 스 또는
리 (" 트 스") 지시 는 또 포 다고 가 다. 특 트 스 지시 는
트( , 트 스 특 값 포 는 트)에 트 검색 , 매체
체가 재검 어 만 것 다. 것 매우 다.
보 보/ 트 과 상 트 에 질 지원 는 식( 들 , 다차<7>
원 싱 지원에 ) 다.
상
(logging) 시스 보 보/ 트 상 트 에 질 지원<8>
다. 시스 보 보/ 트 리(SIEM) 시스 과 연계 여 수 다. 다 스( 스
리 포 )에 생 는 그 는 포맷 수 다. 그 는
" 트" 는 상 스 스 수 다. 들 , 트는 그 내
엔트리, 시스 그(syslog) 내 엔트리, 경고, 경보, 트워 킷, , 또는 통지 지 수
다. , 트는 단 생 후 변경 지 는다.
실시 에 , 시스 트 수신 , 매니 , 통신 포 다. 트 수신 는 그<9>
수신 고, 그 그 처리 여, "청 (chunk)" 다. 트 수신 는 어 시
스 , (buffer) 트, 타 포 다. 어 시스 트 수신 동 어 다.
트는 상 트 다. 타 는 트 내 에 타
다. 실시 에 , 타 는 트 수신 연 고 식별 , 트 내 트 수,
상 " 심 드" 각각에 , 트 내 든 트에 걸쳐 그 드 값 타내는
값 값 포 다. 타 는 트 질 는 경우, 검색 스 능 다.
매니 는 청 수신 고 여, 청 가 질 수 다. 매니 는 어 시스 ,<10>
, 청 , 상 포 다. 어 시스 매니 동
어 다. 상 에 보 다. 실시 에 , 보
는 각각 에 , 연 고 식별 포 다. 청
매니 에 (특 , 상 내에 ) 상 청 에 보
다. 실시 에 , 보는, 각각 청 에 청 에 타 청 포 다.
다수 청 다. 통신 는 트 수신 매니 통신 연결 다.
트 수신 매니 는 그 는 공동 수 다. 개시<11>
에, 트 타 는 다. 트 수신 는 그 수신 다. 트 수신
어 시스 그 상 트 리 고, 각각 트가 트 수신 에 수신
시각 결 다. 어 시스 트 내에 트들, 각각 트에 트가 수신 시각
타내는 시각/ 짜 스탬 다. 또 , 어 시스 타 갱신 다. 어느 시 에 ,
어 시스 타 트 내 에 여 청 생시 다. 실시 에 는,
청 는 타 트 내 포 다. 트 는 재
고, 트 러쉬(flush) 다. 어 시스 청 매니 에 신 다. 매니 는
청 수신 고, 청 내에 고, 청 갱신 다.
매니 는 재 (reclaim) 는 수 다. 특 보 책과 연 가 <12>
식별 다. 식별 내에 포 든 청 보는 청 거 다. 식
별 타내는 내 엔트리는 삭 다. 내에 새 운 엔트
리가 생 다. 새 게 재 가능 사 당 리스트에 가 고 새
운 청 수신 가 다.
내에 청 가 후에, 청 내 트는 질 수 다. 질 는 트에 평가 수<13>
는 타 다. 상 검색 어 포 다. 질 수 , 질 만 는
트 포 수 는 청 가 식별 다. 체 , 타 내에 포 보에
- 5 -
공개특허 10-2009-0100344
질 내 검색 어가 식별 다. " 타 검색 어"는 청 검색 는 다. 식
, 검색 타 내에 보에 특 값에 여, 는다. 식별 청 는 그
트 리 다. 질 만 는 트가 식별 다.
실 시
도 들 단지 시만 실시 타낸 것 다. 당업 는 여 에 는 원리에 탈 지<20>
고, 여 에 타내는 다 실시 가 채 수 쉽게
것 다.
여 에 는 각 다 스 컴퓨 트워 거쳐 수집 고, 공통 스 마<21>
(schema) 규 (normalization) 고, 규 통 는 컴퓨 시스 다. 어
, (" 트")는 감시, 고, 뷰(centralized view) 사 료에 수 다.
트는 규 과 상 상 (cross-correlation) 어 타 트(meta-event) 생 수 다. 상 , 들
, 트들 사 계 견 고, 그 계 도 고( 들 , 타 트 생 에 ),
트 타 트 우 순 매 고, 취 공 는 것 포 다. 시스 ( 것
실시 는 컴퓨 트웨어 타 ) 집 (aggregation), 상 , 탐지, 심스런 트워
동 사 가능 게 다. 또 , 시스 답 리, 특별 (ad-hoc) 질 결, 죄과 에
보고 재 , 트워 동 그 시각 지원 다.
본 시스 다 게 타낸 실시 참 여 지만, 본 폭 사상 주가 들 실시 에<22>
는 것 는 다. 들 , 여 에 공 는 들 산 에 트, 매니
는 , 는 단지 본 실시 뿐 다. 본 개 는
컴퓨 또는 트워 보 시스 수 다. 또 , 본 가 ,
시스 컴포 트 간에 주고 는 시지 시스 에 수 는 스 마
들었지만, 것 든 포 는 것 니 , 그 게 간주 어 도 다.
다 상 는 컴퓨 리 내 에 동 고리 타내진다.<23>
들 고리 컴퓨 과 술 당업 가 그들 업 내 다 당업 에게 가
과 달 수 는 수단 다. 여 에 고리 원 는 결과에 는 는
순 단계들 고 다. 단계들 물리량 물리 는 것 다. , 드시 그러
것 니지만, 들 , , 결 , 달리 수 는 또는 신 태 가진
다. 주 공 , 들 신 트, 값, , , 문 , 어, 숫 등 참 는 것
편리 다고 었다. 그러 , 같 , 그리고 사 어가 물리량과 연 어 고 들
에 여 편 상 다. 체 달리 언 지 에 는, 본
에 걸쳐, "처리", "컴퓨 ", "연산", "결 ", " 시" 등 어 사 컴퓨 시스 지스 리
내 물리( )량 컴퓨 시스 리 또는 지스 또는 다 그 사 보
, 또는 스 스 내에 물리량 사 게 다 변 시 는
컴퓨 시스 , 또는 사 컴퓨 스 동 스 컫는다.
상술 같 , 본 실시 가 컴퓨 가 독 수 는 지시 내 컴퓨 트웨어에 실시 어 ,<24>
지시 내 상 컴퓨 /시스 에 수 그 /시스 지 동 도
지시 다. 러 컴퓨 트웨어는 드 드 , CD-ROM, DVD-ROM, 독 리, 독 리
등과 같 상 컴퓨 독 가능 매체 내에 다. 러 트웨어는 상 들 매체
에 내재 거 , 상 컴퓨 트워 ( 들 , )에 걸쳐 다운 드 수 다. 포맷에 상
없 , 여 에 는 컴퓨 그 , 링 처리 술 단지 본 태들 는
수 는 그 , 링 처리 술 태 들 다. 본 들에 는 것 니 ,
본 후 특허청 참 여 가 쉽게 다.
1. 보 보/ 트 리(SIEM) 시스 처<25>
도 1 실시 에 보 보/ 트 리 시스 가지는 경 타내는 도 다. 도 1 보<26>
보/ 트 리(SIEM) 시스 (100) 상 스(110) 포 다. 스(110)는
스 또는 트웨어 리 수 는 트워 드 다. 스(110)는 탐지 시
스 (IDSs), 지 시스 (IPs), 취 평가 , 어월, 신 , 스 (anti-spam) , ,
- 6 -
공개특허 10-2009-0100344
리 감사(audit) 그, 물리 보 그 포 다.
스(110) 보 탐지 시(proxy) 시스 , 스 책(policy) 어, 어 스 <27>
그 그 통 , 트워 드웨어, 스, 물리 보 포 다. 보 탐지
시 시스 IDSs, IPs, 다 보 리 , 취 평가 리, 신, 허니 (honeypot),
답 술, 트워 감시 포 다. 스 책 어 시스 스 티티 리,
가상 사 트워 (VPNs), 싱(caching) 엔진, 어월, 보 책 리 포 다. 어
스 그 그 통 는 운 체 그, 스 감사(audit) 그, 리 그, 그
통 , 웹 그, 리 포 다. 트워 드웨어는 우 스
포 다. 스는 보 무결 포 다. 물리 보 시스
드- 리 , 생체 식, 도 경보 , 재 경보 포 다.
시 실시 에 , SIEM 시스 (100) 상 에 트(120), 상 매니 (130), 상 <28>
스(140), 상 (150), 상 사 스(160), 상
시스 (170) 포 다. 실시 에 , 들 듈 단 랫폼 결 거 , 개, 개, 또는
그 상 랫폼(도 1 참 ) 산 다. 러 티티어(multi-tier) 처 컴퓨 트워
또는 시스 커짐에 , (scalability) 지원 다. SIEM 시스 (100) 2002 12월 2 원
U.S. 원 10/308,415 에 재 어 고, 본원에 그 문 참 포 다.
에 트(120)는 스(110)에 스 공 다. 특 , 에 트(120)는 스(110)<29>
("미처리 (raw data)") 수집 고, 처리 고, 처리 (" 트") 매니
(130)에 신 다. 에 트(120)는 간 트워 리 (SNMP) 트 등 통 통신 는
별개 스, 그 트워 내 통 , 스(110) 등 어 에 든 동 수 다. 들
, 스(110)가 트웨어 리 , 에 트(120)는 스 스 스에 공
동 스 수 다. 실시 에 , 에 트(12)는 미 리포니 Cupertino에 재 ArcSight,
Inc. Connector 다.
처리는 규 , 집 , 링 포 수 다. 들 , 개별 미처리 트는 매니 (130)에 사<30>
도 문 단 규 다. 규 는 값( , 우 순 , 시간 등) 공통 포맷 규
/또는 공통 스 마 규 포 수 다. 트는 간 독 가능 공통 포
여 고리 수 다. 포맷 사 트 게 고, , 규 , 보고,
감시 트 게 다. 실시 에 , 공통 포맷 ArcSight, Inc. Common
Event Format(CEF) 그 리 다. 규 는 2002 12월 2 원 U.S. 원 10/308,941 에
재 어 고, 본원에 그 문 참 포 다.
집 링 매니 (130)에 신 는 트 고, 것 트워 역폭 공간 <31>
고 매니 상시 고, 트 처리 시간 다. 집 2002 12월 2 원
U.S. 원 10/308,584 에 재 어 고, 본원에 그 문 참 포 다. 에 트(120)는 간
만료 도달 트 계 수에 여 (batch)식 매니 (130)에 트 신 다. 매니
(130) 트 는 것 2007 5월 15 U.S. 특허 7,219,239 에 재
어 고, 본원에 그 문 참 포 다.
또 , 에 트(120)는 스(110) 신 /또는 스 가 스 실 도 지시 는 것과<32>
같 컬 스트에 실시 수 다. 들 동 수동 또는 규 감시
동 동 통 실 수 다. 지원 2002 12월 2 원 U.S. 원 10/308,417 에
재 어 고, 본원에 그 문 참 포 다. 에 트(120)는 또 IP/ 스트 찾 매니
(130) 찾 보는 문 결 (IP) 주 /또는 스트 찾 보는 등
수집 에 보 첨가 수 다.
에 트(120)는 연 (도시 생략) 통 다. 에 트(120)는 규 , 시간 <33>
, 집 , , 리 , 달 , /또는 가 포 는 상 트웨어
듈 포 수 다. 들 내 통 /또는 수 다.
도 에, 에 트(120)는 매니 (130)에 등 고 그 스(110) 동에 특
다. 에 트(120)는 수동과 동 스 통 수 다. 들 , 매니 (130)는
에 트(120)에 또는 갱신 신 수 다. 에 트 2002 12월 2 원 U.S. 원
- 7 -
공개특허 10-2009-0100344
10/308,548 에 재 어 고, 본원에 그 문 참 포 다.
매니 (130)는 능 , 사건 리 업 능 , 스 능 공 다. 매니 (130) 에 트<34>
(120) 사 통신 ( 들 , 매니 (130)가 에 트(120) 스 는 랫폼에 수
게 ) 수 다. 에 , 매니 (130)는 다수 에 트(120)에 집 능
수 고 보 다 매니 (130)( 들 , 업 본 에 개 매니 )에 수 다. 업 수
, 매니 (130)는 다 , 규 , 보고, 니 , 시보드, 트워
사 다. 실시 에 , 매니 (130)는 ArcSight, Inc. ESM(Enterprise Security Manager(ESM)) 등
다.
탐지, 상 , 에스컬 (escalaton) 포 수 다. 들 , 매니 (130)는 규 엔진(도시<35>
생략) 여 에 트(120) 수신 트 상 상 시 는 , 규 엔진 각각 트 트
워 취 보 평가 여 실시간 다. 상 2002 12월 2 원 U.S.
원 10/308,767 에 재 어 고, 본원에 그 문 참 포 다. 사건 리 여, 매니
(130)는 보 사건 상태 그들 결 보고 지 수 다. 사건 보고는 2003 11월 14 에 원
U.S. 원 10/713,471 에 재 어 고, 본원에 그 문 참 포 다. 스는 리,
통지, 보고 포 수 다. 또 , 매니 (130)는 지식 스에 근 공 수 다.
매니 (130)에 트가 수신 , 트는 스(140)에 다. 트 트가<36>
후 참 에 사 는 것 가능 게 다. 실시 에 , 스(140)는 미 리포니
Redwood Shores 재 Oracle Corporation 스 등 계 스 리 시스 다.
실시 에 , 스(140)는 스 시간 순 각 티 내에 다.<37>
들 , 새 운 티 매 생 어 그 트 다. 티 후 검색
(150)에 수 다. 티 리는 2004 5월 4 원 U.S. 원 10/839,563
에 재 어 고, 본원에 그 문 참 포 다. 실시 에 , 티 리는 ArcSight, Inc.
Security Lifecycle Information Management(SLIM) SmartStorage 보 검색 컴포 트
에 공 다.
사 는 사 스(160) 통 매니 (130) 상 다. 사 스(160)는 사 가 매<38>
니 (130) 특징 능 루 찾 볼 수 게 다. 단 매니 (130)는 다수 사 스 스
스 지원 수 다. 가능 사 에게 수 는 특징 능 사 역 과 허가 /또는 매
니 에 달 다. 실시 에 , 스 어 리스트는 다수 보 문가가 동 매니 (130)
스(140) 사 가능 게 지만, 각각 문가는 신 직무에 당 그 신 , 상 규
, 경고, 보고, 지식 스 가진다. 매니 (130) 사 스(160) 사 통신
수 다.
실시 에 , 가지 태 사 스(160), 워 스 스 웹 우 <39>
스가 다. 워 스 스는 SOC(Security Operations center) 또는 사 보 감시
경 내 규 보 직원에 사 도 독립 (standalone) 트웨어 리 다. 워 스
스는 , 규 , 보고, 견, 시보드, 감시 생 수 는 링
(authoring tool) 포 다. 또 , 워 스 스는 사 가 사 들, 스
티 , 업 ( 들 , 사건 사 보고) 사 리 가능 게 다. 들 , 워 스
스는 사 가 루틴 감시 수 고, 복 상 시 스 규 만들고, 루틴 리
능 수 는 것 가능 게 다. 실시 에 , 워 스 스는 ArcSight, Inc. ESM
Console 다.
웹 스는 웹 우 언트에게 매니 (130) 스 공 는 독립 원격 <40>
가능 웹 다. 웹 스는 MSSPs(Managed Service Security Provider) 고객, SOC ,
보 트워 매니 (130) 스 가 는 사 간편 스
사 것 다. 웹 매니 (130) 에 수 문에, 웹 는 매니 (130)
보 는 어월 에 동 수 다. 웹 스는 트 감시 드릴-다운(drill down) 능
공 다. 실시 에 , 보 특징 , 웹 스는 링 또는 지시 능 수 없다.
실시 에 , 웹 스는 ArcSight, Inc. ArcSight Web 다.
- 8 -
공개특허 10-2009-0100344
실시 에 , 시스 (170) 주 많 트 처리에 트 다. <41>
시스 (170) 보 트( " 그 " ) 다. 실시 에 , 보 트는
태 다. 그러 , 시스 (170) 들 트 죄 과 - 질 도 (변 지 )
에 도 수 다. 다수 시스 (170) 업 여 규 가시 , 트 ,
게 지 는 도 지원 수 다. 트 질 들 시스 (170) 동료(peer) 트워 에 걸쳐
산 수 다. 사 는 사 스 통 시스 (170) 수 다(도시 생략). 실
시 에 , 시스 (170) ArcSight, Inc. Logger 다.
시스 (170) 처리 트( 들 , Common Event Format에 맞는 트) 미처리 트 <42>
수신 수 다. 실시 에 , 미처리 트(시스 그 시지 또는 그 등)는 스(110)
직 수신 고, 처리 트는 에 트(120) 또는 매니 (130) 수신 다. 또 , 시스
(170) 미처리 트 처리 트 신 수 다. 실시 에 , 미처리 트는 시스
그 시지 ( 스(도시 생략)에) 신 고 처리 트는 매니 (130)에 신 다. 시스
(170) 에 상 게 다.
상술 처 통 , SIEM 시스 (100) 식 또는 식 경 지원 수 다. 것 직<43>
SIEM 시스 단 스 스 실시 고 티 사 에 스 어 리스트 사 원 수
므 다. , 직 각각 수많 그룹에 별개 SIEM 시스 (100) 개 고 그 결과 "
마스 " 에 통 는 것 택 수 다. 또 , 러 개는 재 업무 시간 업 는 그
룹에 주 감독 책 가 지리 산 동료 그룹 업 는 " 우 (follow-the-
sun)" 룰 수 다. 또 , SIEM 시스 (100) 업무 가 별개 업 고 집 식 리 능에
상 달(rollup) 지원 는 업 계 에 개 수 다.
2. 그 <44>
여 에 는 그 과 질 지원 는 시스 다. 여 에 <45>
것처럼 " 그 "는 스 리 포 는 다 스에 생 수 다.
들 스는, 들 상술 스(110)뿐만 니 , 트워 시스 , 컴퓨 , 운 체 , 신 시스
, 스, 물리 스트럭처(infrastructure), 티티 리 시스 , 리 스, 시스
건강 보 시스 , 웹 트 , 거시(legacy) 시스 , 독 시스 , , 리 ,
보 시스 , 물리 스, SIEM 스(에 트(120) 매니 (130) 등) 포 다.
시스 그 다 식 득 수 다. 들 , 그 가 수신 수 다( 들<46>
, 시스 그 에 ). 편, 그 가 스 수 다( 들 , 지역 또는 원거리에
독에 ). 다 , 들 ODBC(Open Database Connectivity), SNMP(Simple
Network Management Protocol) 트 , NetFlow, 독 APIs(Application Programming Interfaces) 포
다. 또 , 그 는 사 에 수 다( 들 , CLI(command line interface) 사
여).
그 는 포맷 수 다. 러 포맷 는, 들 CEF(상술 ) 다. 다 포맷 , <47>
들 그 생시 스(110)에 특 다.
그 는 " 트" 는 상 스 스 다. 트는, 들 그 내<48>
엔트리, 시스 그 내 엔트리, 경고, 경보, 트워 킷, , 또는 통지 지 수 다.
, 트가 단 생 후 변경 지 는다.
실시 에 , 트는 내재 타 시지 포 다. 내재 타 는, 들 <49>
트 생시 스 또는 리 (" 트 스") 트 스 트 수신 시각("수신
시각")에 보 포 수 다. 실시 에 , 수신 시각 짜/시간 스탬 고, 트 스는
트워 단 식별 ( 들 , IP 주 또는 MAC(Media Access Control) 주 ) /또는 스 (
(vendor) 에 보 포 ) 다.
시지는 트 스 무엇 수신 는지 타내 태( 진수 , 숫 등)<50>
수 다. 실시 에 , 시지는 주 만 시 리 또는 변경 타내는 식 스트 다.
또 , 다 실시 에 , 시지는 시 (explicit) 타 포 수 다. 시 타 는,
들 시지 문 단 득 다. 트 스가 트 생시 경우, 트는 보통
- 9 -
공개특허 10-2009-0100344
트가 어 시각(" 트 생 시각") 지시 는 보 포 다. 트 생 시각(보통, 짜/시간 스
탬 ) 시 타 고 게 사 다. 상 트 스는 균
시 타 만든다( 들 , 트 우 순 또는 계 , 트에 는 스
/ 리 /사 , 트 사 ).
실시 에 , 트가 생 시각 포 지 는 경우, 트(후술 ) 수신 시각에 트 수신 에<51>
생 내재 타 스탬 는 본 생 타 스탬 처리 다. 트가 처리 어 재 다
시스 통 진 , 각각 시스 보통 트 수신 시각 내재 시 가진다.
실시 에 , 트는, 값 각각 포 수 는 상 드 포 는 타낸다.<52>
는 100 byte 내지 10 kilobyte 내 것 다.
3. 시스 처<53>
도 2는 실시 에 보 보/ 트 리(SIEM) 시스 (100) 시스 (170) 능 는 컴퓨<54>
(200) 상 단계 도 다. 스(204)에 결 어도 (202)가 도시 다. 또 , 스
(204)에는 리(206), 스(208), 보드(210), 그 어 (212), 포 스(214),
트워 어 (216)가 결 다. 실시 에 , 스(204) 능 상 에 공 다.
스 (218)는 그 어 (212)에 결 다.
스(208)는 드 드 , 트 스 독 리(CD-ROM), DVD, 또는 도체 억 <55>
등 보 수 는 스 다. 리(206)는 (202)에 사 는
보 다. 포 스(214)는 마우스, 트 볼, 또는 다 태 포 스 수 고,
보드(210) 께 컴퓨 (200)에 는 사 다. 그 어 (212)는 미지 다 보
스 (218) 상에 시 다. 트워 어 (216)는 컴퓨 (200) 지역 또는 역 트워 에 결 시
다.
에 공지 것 , 컴퓨 (200)는 도 2에 타낸 것과 상 /또는 그 컴포 트 가질 수 다.<56>
또 , 컴퓨 (200)는 도시 컴포 트가 없 수 다. 들 , 시스 (170) 능 는 컴
퓨 (200)는 보드(210), 포 스(214), 그 어 (212), /또는 스 (218)가 없 수
다. 또 , 스(208)는 컴퓨 (200) 근거리 /또는 원거리 수 다(SAN(storage area
network) 내에 는 같 ).
도 3 실시 에 , 보 보/ 트 리(SIEM) 시스 (100) 시스 (170) 타낸 도 다.<57>
시 실시 에 , 시스 (170) 트 수신 (310), 매니 (320), 통신 (330)
포 다. 단 트 수신 (310) 타내지만, 시스 (170) 많 트 수신
(310) 동시에 많 수 지원 수 다. 실시 에 , 각각 트 수신 (310)는 고 식별
연 다.
트 수신 (310)는 그 (340) 수신 고, 그 (340) 처리 고, "청 "(350) <58>
다. 트 수신 (310)는 어 시스 (355), 상 트(360), 타 (365) 포
다. 어 시스 (355) 상 트(360) 타 (365) 통신 연결 다.
어 시스 (355) 트 수신 (310) 동 어 고, 상 게는 도 4 참 여 다.<59>
상 트(360)는 상 트 다. 또 , 트(360)는 각각 트에<60>
, 트 수신 (310)에 트 수신 시각 타내는 시각/ 짜 스탬 다. 들 ,
트(360)는 각각 트에 시각/ 짜 스탬 값 가 다( "수신시각" 드 가 ).
타 (365)는 트(360) 내 에 타 다. 실시 에 , 타<61>
는 트 수신 트 수신 (310) 연 고 식별 , 트 내 트 수, 상
각각 " 심 드"에 여, 트 내 든 트에 걸쳐 그 드 값 타내는 값
값 포 다. 타 (365)는 트 질 , 검색 스 능 다(후술 ).
들 , 트가 값 트가 생 시각 타내는 생시각 는 드 포 다고 가 다.<62>
생시각 심 드 었다 , 타 (365)는 생시각에 값 생시각에 값
포 것 다. 생시각 값 에 어 트(360) 내 트에 생시각 것 다.
- 10 -
공개특허 10-2009-0100344
생시각 값 어 트(360) 내 트에 생시각 것 다.
실시 에 , 수신시각 또 심 드 다. , 실시 에 , 타 (365)는 또 <63>
트 내 든 트에 걸쳐 수신 시각 값 타내는 값 값 다. 수신시각
값 에 수신 트(360) 내 트에 수신시각 것 다. 수신시각 값
수신 트(360) 내 트에 수신시각 것 다. 실시 에 , 수신시각 값만
다. 실시 에 , 수신시각 값 지 고, 는 량 다. (360)가
주 러쉬 (후술 는 같 , 는 청 가 생 는 시간에 어 ), 수신시각 값 수신시각
값에 근 것 다( 들 , 1 후).
실시 에 , 심 드는 트 드 그 체가 니다. 신, 트 상 드에 값에<64>
여 결 는 " 생" 값 다.
매니 (320)는 청 (350) 수신 고 여, 청 (350)는 질 수 다. 매니<65>
(320)는 어 시스 (370), (375), 청 (380), 상 (385) 포
다. 어 시스 (370) (375), 청 (380), 상 (385)과
통신 연결 다.
어 시스 (370) 매니 (320) 동 어 고, 상 게는 도 4 참 여 후술 다.<66>
(375) 상 (385)에 보 다. 실시 에 , <67>
(375) 내 각각 엔트리는 공간 당 (385) 타내고, 엔트리는 과
연 고 식별 ( 들 , 시스 , 그 내 경 , ) 포 다.
(375)에 리스트 (385) ( 들 , 청 (350)) 포 거 포 지
수 다. (375) , 들 스(도시 생략)에 다. 실시 에 ,
(385) 그들 에 당 다. 실시 에 , 들 사 에 당 (385) 리스트
(" 리 리스트(free list)" )가 지 다.
청 (380) 매니 (320)에 는( 체 는, 상 (385) 내에 는)<68>
상 청 (350)에 보 다. 실시 에 , 보는, 각각 청 에 , 청 에
타 (후술 ), 청 ( 들 , 청 과 연 고 식별 청 가
는 내 ( 들 , )) 포 다. 청 (380) , 들
스(도시 생략) 내에 다.
(385) 다수 청 (350) 다. 실시 에 , 든 동 ( 들 ,<69>
1 gigabyte) 고 시간순 직 다. (385) , 들 미처리 스 상에 또는 시스
(도시 생략) 등 시스 에 다. (385) 미처리 스 상에 는 경우, 간
가 지 므 , 는 고 스 수 다. 또 , 보 개 수 다.
통신 (330)는 트 수신 (310) 매니 (320) 통신 연결 다. 실시 에 , 통신 <70>
(330)는 과 같 공 망 또는 체 공 망 포 다. 다 실시 에 , 통신 (330)는 사
트워 또는 상 별개 또는 리 사 트워 ( 들 , 가상 사 트워 또는 지역 트워
) 포 다. 통신 (330) 들어 고 가는 통신 링 는 또는 무 수 다( 들 , 지
상 또는 수신 ). 실시 에 , 통신 (330)는 (Ethernet) 사 는 IP
역 또는 도심 트워 등 킷 트워 다.
다 실시 에 , 통신 (330)는 단 컴퓨 시스 에 지 다( 들 , 트 수신 (310) <71>
매니 (320) 가 동 스에 실시 는 경우 ). 실시 에 , 통신 (330)는,
들 지 , 트웨어 루 (loopback) 스 통 실시 다. 들 , 는
리 내 다 에 복사 고, 통신 API 통 어 다.
또 다 실시 에 , 통신 (330)는 단 처리 지 다( 들 , 트 수신 (310) <72>
매니 (320) 가 동 스에 동 처리 실시 는 경우 ). 실시 에 , 통신 (330)
는, 들 공 리 /또는 공 리 지시 는 포 통 실시 다.
4. <73>
도 4는 본 실시 에 그 는 타내는 도 다. 실시 에 , 도<74>
- 11 -
공개특허 10-2009-0100344
4 (400) 트 수신 (310)( 들 , 그 어 시스 (355)) 매니 (320)( 들 , 그
어 시스 (370))에 공동 수 다.
실시 에 , (400) 개시 에, 트(360) 타 (365)는 다. 들 ,<75>
어 시스 (355) 타 (365) 내에 트 수신 (310) 연 고 식별 다.
(400) 트 수신 (310)가 그 (340) 수신 는 경우(S410) 개시 다. 실시 에 , 그<76>
(340)는 스트림 태 수신 다.
어 시스 (355) 그 상 트 리 고(S420) 각각 트가 트 수신 (310)<77>
에 수신 시각 결 다(S420).
어 시스 (355) (360) 내에 트 , 각각 트에 , 트가 수신 시각 타내는 시각/<78>
짜 스탬 다(S430). 또 , 어 시스 (355) 타 (365) 갱신 다(S430). 들
, 내 트 수는 가 것 다. 또 , 심 드(들) 값 값 갱신 가
것 다. 실시 에 , 시스 돌 어 경우 가능 , 동 타
동 동 다. 들 , 트 잭 스 시스 (transactional database system)
어, 시스 단계 사 에 돌 는 경우에도, (360) 내에 트가 , 에
타 (365)가 갱신 는 것 보 다.
어느 시 에( 참 ), 어 시스 (355) 타 (365) (360) 내 에 여 청<79>
(350) 생시 다(S440). 실시 에 , 청 는 타 (365) (360) 내
포 다. 고리 ( 들 , GNU zip(gzip)에 는 것과
같 실 고리 ) 여 생 수 다. 내 러 근 식
택 만든다. 실시 에 , 상 청 는 상 사 가질 수 고,
사 가 시 수 다.
또 , 실시 에 , 청 (350)는 "매직 " 식별 포 다. 매직 ( 시그 처<80>
)는 청 태 식별 는 짧 시 스 트 다. 들 , 매직 는 다 청 포
여 다 포맷에 체에 걸쳐 고 다고 수 다( , 상당 고 편 다).
그러므 , 청 가 독 는 경우, 청 가 상 포맷 내 지 여 결 는 것 다. 청 실
매직 가 상 매직 상 경우, 청 는 " "( 들 , ) 다. 실 매직 가 상
매직 매 , 청 내에 후 생 는 는 여 수도 다. 그러 , 매 는 매직
는 다수 상 에 런 가능 다. 식별 는 변경 포맷
가능 게 다. 들 , 청 가 독 는 경우, 식별 는 매직 께 어 또는
포맷에 가 보 지시 수 다.
또 다 실시 에 (도시 생략), 어 시스 (355) (360) 내 시지 다 스트(digest) 생<81>
시 다. 들 , 어 시스 (355) 시 수 (360) 내 타내는 스트링에 다.
시지 다 스트 고리 5(MD5) 보 시 고리 리( 들 , SHA-256) 가운 고리
과 같 시 수가 사 수 다. 실시 에 , 다 스트 값 청 가 생 에
타 (365)에 다. 값 후 청 내에 ( 태 ) 가 변경 거 간
었는지 여 결 는 수 다. 것 트가 변경 경우, 눈에 게
트 무결 보 는 것 돕는다.
어 , (360) 타 (365)는 재 고(S440), (360)는 러쉬 다. 실시<82>
에 , 트(360)는 다수 포 다. 실시 는 가 채워진 또는 러쉬 는 상태에 ,
다 가 들어 는 트 에 는 것 가능 게 다.
실시 에 , 스 440 (360)가 채워진 경우 수 수 다. 다 실시 에, 스 440 (360)에<83>
트가 수신 지 고 특 간("타 웃 도우(timeout window)") 경과 수 다.
어 시스 (355) 청 (350) 매니 (320)에 신 다(S450).<84>
매니 (320)는 청 (350) 수신 다(S460). 어 시스 (370) 청 (385) 내에 다<85>
(후술 )(S470). 실시 에 , 청 는 보 에 다. 또 , 어 시스 (370)
청 (380) 갱신 다(S470). 들 , 어 시스 (370) (385) 내에 막 청
- 12 -
공개특허 10-2009-0100344
(350) 보 에 가 다.
어 시스 (370) 각각 (385) 내 에 " 가" 순 청 (350) 다. , 것 "<86>
꿔쓰 가 는 (write-once journaled)" 다. 실시 에 , 어 시스 청 가 수
는 내 지시 는 " 포 " 지 다. 청 가 에 후에, 포
는 동 내 지시 도 수 다( 체 , 막 청 ). 청
채우 , 포 는 청 는 사 수 는 상 내 ( 체
, 에) 지시 도 수 다. 실시 (도시 생략)에 , 청 리 내 1 싱 청
에 지연 다. 그러 , 다수 연 는 청 는 RAID 5 스 시스 상 -스트 (full-
stripe) 에 도 쓰 동 결 다. 쓰 등 연 동 ,
드웨어는 고 많 료 동시에 처리 다.
사 에 당 재 ( 들 , 상술 리스트 내에 리스트 같 ), 어 시스<87>
(370) 사 고 리스트 그 고 식별 거 다(그
상 수 없 므 ). 사 에 당 재 지 , 어 시스 (370) 가능
공간 찾고 (375) 갱신 새 생 다. 들 , 어 시스 (370) 막 새
새 운 (385)에 보 에 가 다. 실시 에 , 새 운 (385)에
당 고 식별 는 1과 가 근에 당 (385)과 연 고 식별 과 동 다.
(400) 많 직 특징 가진다. 들 , 매우 많 수 당 트(EPS) 수신 지원 수<88>
므 , 뛰어 다. 다수 트 수신 (310)가 수 고, 트 탐색
동 니 가 동만 므 , 고 다. 또 , (400) 에 지 근 게 므 ,
특징 다. 트 삭 는 매체 각 지 는 , 는 각
(defragmentation) 처리가 지 , 또 리 도우가 지 미 다. 린업
업에 내재 지 시간 다. 또 , 스 동 므 , 동 질 처리
공간 헤드 다.
5. 재<89>
어느 시 에(후술 ), 상 (385)에 는 후 사 도 재 다. 도<90>
5는 실시 에 재 는 는 도 다. 실시 에 , 도 5 (500)
매니 (320)( 들 , 그것 어 시스 (370))에 수 다.
특 보 책(후술 )과 연 어 가 (385) 식별 다(S510). 단<91>
가 는 수에 고 식별 가지므 , (375) 질 여 보 책과 연 어 가
( , 가 낮 고 식별 가지는 ) 찾는 것 다.
식별 (385)에 포 든 청 (350) 보는 청 (380) 거 다(S520).<92>
식별 (385) 타내는 (375) 내 엔트리는 삭 다(S530).<93>
새 운 엔트리는 스 (375) 내에 생 는 , a) 가 게 사 식별 보다 <94>
새 운 고 식별 b) 가 ( , 단계(510)에 식별 ) 물리
지시 는 경 가진다(S540).
새 게 재 (385) 가능 사 당 리스트에 가 고(S550) 새 운 청<95>
수신 가 다.
실시 에 , 재 , 그 삭 지 고 재 다( 들 ,<96>
재사 또는 어쓰 ).
재 고리 ( 들 , 그것 수 는 시각 얼마 많 재 는지)는 <97>
(385)과 연 보 책에 달 다. 보 책 , 들 스 공간 사 계 또는 청 보
시간에 여 청 (350) 보 다. 재 고리 실 는 시 는 들어
그 책과 연 든 채워지고 당 수 없 ( 들 , 는 는
공간 없 문 ); 특 계 에 도달 ( 들 , 그 보 책과 연 여 에
는 공간 에 ); 특 간 경과 ; 그 책과 연 특 수가
재 는 ; 그 책과 연 여 내에 가 청 가 계 시 에 도달 다. 실
- 13 -
공개특허 10-2009-0100344
시 에 , 그 공간 재 에 다 시스 에 업 다. 식 , 여
지 많 가능 게 수 다.
실시 에 , 든 (385) 동 보 책과 연 다. 다 실시 에 , 다수 보 책<98>
재 고, 각각 다수 보 책 어느 연 다. 다수 동 보
책과 연 수 다. 보 책 사 에 생 수 수 다. 실시 태에 , 매니
(320)는 각각 보 책에 상술 재 고리 스 스 리 지 다.
들 , 각각 (385) 에 는 보 책 지시 는 타 포 고, 청 는
그 청 보 책에 당 는 내에 다.
다수 보 책 재 , 도 3에 타낸 시스 (170) 간 수 다(도시 생략). 체 , 트<99>
수신 (310)는 각각 보 책에 트(360) 타 (365) 포 다.
트가 트에 고 타 가 갱신(단계 430) 에, 어 시스 (355) 어느 보
책 트에 어 는지 결 다. 결 , 들 특 트 또는 맵 에
다. 우 순 또는 트 스 등 사 수 다. 결 에 여, 어 시스
(355) 트 트 내에 고 타 갱신 다. 그러므 , 특
트 내 든 트는 동 보 책과 연 것 다.
그러므 , 그 트에 여 생 청 (350)는 동 보 책과 연 게 다. 청 가 <100>
(385)에 (단계 470) 에, 어 시스 (370) 청 보 책 결 고 청 그 책과 연
내에 다. 그러므 , 특 내 든 청 는 동 보 책과 연 것
다.
실시 에 , 각각 보 책 그 신 (385) 그룹 가진다. 각각 고<101>
숫 시 다. 그 고 숫 는 그룹 내 순 결 다. 가 순
다. 갱신 지 고, 고 가 드 동 어 그 간 지
다. 보 그룹 내 든 채워짐에 , 그룹 내 1( , 가 )
재 다. 실시 에 , 별개 (375) 보 책 당 고, 그 보 책에
당 (385)에 엔트리 포 다. 리스트가 지 , 얼마 많 보 책 재 는
지에 계없 , 단지 리스트가 체 매니 (320)에 다.
6. 질 / 도<102>
청 (350)가 (385) 내에 후, 청 내 트는 질 수 다. 질 는 트에 평<103>
가 수 는 타 다. 상 검색 어 포 다. 실시 에 , 질 과
다수 단계에 어 다. 1 단계는 어느 청 (350)가 질 만 는 트 포 수 는
지( 재 는 경우) 식별 다. 2 단계는 식별 청 그들 트 리 다. 3 단계는
들 트 어느 것 질 만 시 는지( 재 다 ) 식별 다. , 1 단계는 어느 청
( 그들 트)가 사 어 고 어느 청 ( 그들 트)가 무시 어 는 지 식별
는 " 략 " 능 다. 경우에, 청 에 당 보 책 트가 질 거 도
고 지 는 , 트 포 는 청 에 어 보 책 었는지는 계가 없 문 다.
1 단계에 , 타 (365)에 포 보 계 는 질 내 검색 어가 식별 다( 트가 <104>
(385) 내 청 (350) 지 고 (360) 내 트 경우는
단계 돌 감). 타 보는 연 트 수신 고 식별 각각 심 드에
다수 트( 에, 동 내 트, 후, 동 청 내 트)에 걸쳐 그 드 값
께 타내는 값 값 포 다. 타 보는 청 (150) 매니
(320)에 었 상 다. 어 , 타 보는 청 (380)에 었다. 그러므 ,
타 에 여 트 검색 , " 타 검색 어"가 청 (380) 검색 는
다. 것 어느 청 가 타 검색 어 만 는 트( 재 는 경우) 포 수 는 지
산 낼 것 다. 식에 , 검색 트 수신 /또는 심 드에 특 값(또는 값 )에
여 는다( 는 들 값 청 (380) 내 타 내에 문 ).
" 심 드" 타 는 값 므 , 청 가 타 검색 어 만 다는 사실 청<105>
가 타 검색 어 만 는 트 포 다는 것 드시 미 는 것 니다. 들 ,
- 14 -
공개특허 10-2009-0100344
타 검색 어가 드 값 10 고, 청 가 드 값 5 15 트 각각 포 , 10 그
내에 어, 청 는 타 검색 어 만 는 것 식별 것 다. 그러 , 청 는 드 값 10
트 포 지 수 다( 런 질 는 단계 수 다). 그러 상 참 것 청 가 검
색 어 만 는 트 포 , 그 청 는 검색 어 만 는 것 식별 것 는 것 다.
2 단계에 , 식별 청 는 그들 트 리 다. 청 트 트 <106>
포 , 트 그 트 에 다.
3 단계에 , 각각 트는 트가 검색 어 만 는지 여 결 체 검색 어<107>
트 다. 실시 에 (도시 생략), 트는 특 순 다. 들 , 트는 그들
트 수신 시각에 여 다. 트 특 순 고 매 는 트 검색 결과에 가
다는 것 검색 결과 내 트가 미 그러 특 순 것 미 다. 트 는
게 다.
1 단계에 , 검색 어는 타 (365) 내에 포 보 지 수 다. 런 경우, <108>
든 청 (350)는 타 검색 어 만 는 트 포 가능 것 식별 것 다( 타 검
색 어가 재 지 므 ). , 질 처리는 든 검색 어 사 여 각각 트
검색 는 것 어 린다. 것 상술 본 직 과 사 다.
상 고리 청 (350) 내에 트 검색 다. 그러 , 시스 (170) 청 내에 직 <109>
지 가 트 트 수신 (310) 내에( 들 , 트(360) 내에) 포 수 다. 상
고리 들 트 검색 지 것 다. 실시 에 , 고리 실시 에, 트
(360)는 러쉬 어, 트는 매니 (320)에 신 어 청 내에 것 다. 게 , 고리
실시 는 경우, 트 내에 에 었 트 또 검색 것 다. 또 다 실시 에 , 상술
고리 과 사 게 별개 검색 타 (365) 내 트(360) 여 트 수신
(360)에 실시 다. 식에 는, 매니 (320) 또는 트 수신 (310)에 는지 여 에
계없 , 든 트가 검색 것 다.
도 6 실시 에 , 질 타내는 도 다. 실시 에 , 도 6 (600) 매니<110>
(320)에 수 다( 들 , 그 어 시스 (370)). (600) 개시 에, 검색 질 가 수신 다.
검색 질 는 상 검색 어 포 다.
타 검색 어(수신 검색 질 내 것)가 식별 것 다(S610).<111>
식별 타 검색 어는 청 (380) 검색 는 다(S620). 청 (380) 내 각각<112>
엔트리는 청 (350)에 고, 엔트리는 청 내에 타 청 포 상
다. 식별 타 검색 어는 청 (380) 타 검색 는 다.
타 가 타 검색 어 만 는 각각 청 (350)는 청 (380) 내에 청 <113>
여 도 다(S630).
도 청 는 그 트 리 다(S640).<114>
각각 트는 트가 질 만 는지 여 결 , 검색 질 에 평가 다(S650). <115>
트가 질 만 , 그 트가 검색 결과에 포 다.
7. 가 실시<116>
실시 에 , 시스 (170) (385)에 문 능 지원 다. 들 , <117>
(385) 시스 (170) 내에 포트(import) 그 스포트(export) 수 다. 다 실시 ,
(385) 다 시스 에 업 수 고 후 시스 (170) 내에 복 수 다. 트는 청 에
고, 청 는 에 므 , 트는 니어 (nearline) 또는 (offline) 에 쉽
게 달 가능 다. 문 질 에 과 사 수 다( 들 , 타 에
보 값).
상 직 실시 동 것 지 본 것 니다.<118>
본 는 특허청 에 만 것 다. 상 , 본 사상
에 포 많 변 가능 당업 에게 것 다.
- 15 -
공개특허 10-2009-0100344
도 간단
도 1 실시 에 보 보/ 트 리 시스 가지는 경 타내는 도.<14>
도 2는 실시 에 보 보/ 트 리 시스 (logging) 시스 능 는 컴퓨 타<15>
내는 도.
도 3 실시 에 보 보/ 트 리 시스 시스 는 도.<16>
도 4는 실시 에 그 는 는 도.<17>
도 5는 실시 에 재 는 는 도.<18>
도 6 실시 에 질 타내는 도.<19>
도
도 1
- 16 -
공개특허 10-2009-0100344
도 2
- 17 -
공개특허 10-2009-0100344
도 3
- 18 -
공개특허 10-2009-0100344
도 4
- 19 -
공개특허 10-2009-0100344
도 5
- 20 -
공개특허 10-2009-0100344
도 6
- 21 -
공개특허 10-2009-0100344
