APPARATUS AND METHOD FOR DETECTING ATTACK BY USING LOG ANALYSIS

According to an embodiment of the present invention, an apparatus for detecting an attack by using a log analysis comprises: a log analyzing unit for detecting occurrence of a predetermined event based on a log of a terminal; an attack detection unit for determining whether the predetermined event exists among events mapped to each node based on a tree structure which is a structure mapped with a series of events that occur when a cyberattack occurs sequentially to each node connected from a leaf node toward a root node; and an attack responding unit for performing countermeasures against a cyberattack when the attack detection unit determines that the predetermined event has occurred up to a predetermined level in the tree structure in the order of events mapped to each node connected from the leaf node toward the root node. 본 발명의 일 실시예에 따른 로그 분석을 이용한 공격 탐지 장치는 단말의 로그를 기초로 소정의 이벤트의 발생 여부를 탐지하는 로그 분석부, 사이버 공격이 진행될 때 발생하는 일련의 이벤트 각각이 리프 노드로부터 루트 노드를 향해 연결된 각 노드에 순서대로 매핑된 트리 구조를 기초로 소정의 이벤트가 각 노드에 매핑된 이벤트 중에 존재하는지 판별하는 공격 탐지부 및 소정의 이벤트가 어느 하나의 리프 노드로부터 루트 노드를 향해 연결된 각 노드에 매핑된 이벤트의 순서대로 트리 구조의 기 지정된 레벨까지 발생한 것으로 공격 탐지부가 판별한 경우, 사이버 공격에 대응하기 위한 대응 동작을 수행하는 공격 대응부를 포함한다.