KR101500448B1 - 정상 행위 프로파일을 이용한 비정상 접속 탐지 방법 - Google Patents
정상 행위 프로파일을 이용한 비정상 접속 탐지 방법 Download PDFInfo
- Publication number
- KR101500448B1 KR101500448B1 KR20130162174A KR20130162174A KR101500448B1 KR 101500448 B1 KR101500448 B1 KR 101500448B1 KR 20130162174 A KR20130162174 A KR 20130162174A KR 20130162174 A KR20130162174 A KR 20130162174A KR 101500448 B1 KR101500448 B1 KR 101500448B1
- Authority
- KR
- South Korea
- Prior art keywords
- behavior
- connection
- action
- normal
- standard deviation
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
BYOD(Bring Your Own Device) 및 스마트워크 환경에서 정보 유출 등 기업 내부 인프라의 보안을 위협하는 요소에 대응하도록 사용자별 프로파일 기반의 동적 통제를 실시할 수 있는 정상 행위 프로파일을 이용한 비정상 접속 탐지 방법이 개시된다.
본 발명에 따르면, 접속 행위 요소별 현재에 일어날 행위 발생 확률을 계산하고, 이를 가중치에 기반한 행위 표준 편차를 계산함으로써 계산된 행위 발생 확률과 행위 표준 편차가 정상 행위에 해당되는지를 판단하게 되면 BYOD 환경 및 스마트워크 환경에서의 비정상 접속 행위 여부를 확인할 수 있다.
이에, 본 발명은 BYOD 및 스마트워크 환경에서 내부 자원을 보호하는데 한계가 있는 기존의 NAC 및 MDM 기술을 대체할 수 있는 뛰어난 보안성을 제공하게 된다.
본 발명에 따르면, 접속 행위 요소별 현재에 일어날 행위 발생 확률을 계산하고, 이를 가중치에 기반한 행위 표준 편차를 계산함으로써 계산된 행위 발생 확률과 행위 표준 편차가 정상 행위에 해당되는지를 판단하게 되면 BYOD 환경 및 스마트워크 환경에서의 비정상 접속 행위 여부를 확인할 수 있다.
이에, 본 발명은 BYOD 및 스마트워크 환경에서 내부 자원을 보호하는데 한계가 있는 기존의 NAC 및 MDM 기술을 대체할 수 있는 뛰어난 보안성을 제공하게 된다.
Description
본 발명은 비정상 접속 탐지 방법에 관한 것으로서, 더욱 상세하게는 BYOD(Bring Your Own Device) 및 스마트워크 환경에서 정보 유출 등 기업 내부 인프라의 보안을 위협하는 요소에 대응하도록 사용자별 프로파일 기반의 동적 통제를 실시할 수 있는 정상 행위 프로파일을 이용한 비정상 접속 탐지 방법에 관한 것이다.
새로운 IT 환경인 BYOD 및 스마트워크 환경은 무선 인터넷 환경 구축과 태블릿 PC, 스마트폰등 스마트 기기의 대중화, 데스크탑 가상화와 클라우드 서비스의 활용 증가, 실시간 커뮤니케이션과 업무 연속성의 중시 등으로 환경 형성이 가속화되었다.
기업 입장에서도 업무 생산성 및 효율성을 높이고 기기 구매 등의 비용 절감을 위해 BYOD를 적극적으로 도입하고 있는 추세이다. 이렇듯 BYOD 시대가 도래되면서 기업 내부인프라가 폐쇄적 환경에서 개방적 환경으로 전환되고 있다. 언제 어디서나 개인 기기의 기업 인프라 접근이 허용되고 있는 것이다.
기업 내부에서 무선 공유기(AP), 스위치 등을 통해서 개인 기기의 기업 인프라 접근이 가능하며, 이동통신망, 공개 와이파이(Wi-Fi), VPN 등을 통해 기업외부로부터 개인 기기를 통하여 기업 인프라에 접근할 수도 있다.
이와 같이, 개방적 환경으로의 변화는 업무 연속성과 편의성를 획득한 반면, 이전에는 생각지 못했던 보안 위협 또한 다수 발생하였다. 무엇보다도, 개인 기기들이 기업 내부 인프라에 접근함에 따라 기업 내부 데이터가 유출될 수 있는 위험이 커졌다. 즉, 개인 기기의 분실이나 도난 등에 의해 기업 내부 데이터의 유출 발생 가능성이 있고, 악성코드에 감염된 개인용 기기의 내부 인트라넷 접속으로 인한 기업 IT 자산이 위협 받을 수도 있었다.
위와 같은 IT 자산의 위협에 대응하여 BYOD 및 스마트워크 환경에서 최근 각광받고 있는 보안 기술로는 NAC과 MDM을 들 수 있다. NAC 기술이란 사용자 PC(단말)이 내부 네트워크에 접근하기 전에 보안 정책을 준수했는지를 검사하여 비정상 단말 여부에 따라 네트워크 접속을 통제하는 기술을 가리킨다.
이러한 상기 NAC는 자체가 사용자 인증 및 접근 제어를 주목적으로 하여 네트워크 접근 이후 사용자나 단말기기의 비정상 행위를 탐지하여 대응하는 기능이 부족하다. 또한 등록된 사용자 기반 인증이 중심이어서 단말기기 인증에 대한 기능도 부족하였다.
무엇보다도, 상기 NAC는 태생적으로 네트워크 접근 자체에 대한 차단을 목적으로 하고 있어 앞에서도 언급했듯이, 다양한 개인 기기의 활용 및 업무 연속성 보장 위에, 비정상 행위의 사용자를 격리시켜 기업 데이터를 보호해야 하는 보안 특수성이 부족한 실정이다.
반면, MDM이란 OTA(휴대폰무선전송기술, Over The Air)을 이용하여 언제 어디서나 모바일기기가 Power On 상태로 있으면 원격에서 단말 등록/관리, 분실 단말 사용중지, 단말 추적 관리 등의 기능을 제공하는 시스템을 가리킨다.
그러나, 상기 MDM은 하나의 어플리케이션에 해당되므로 다른 어플리케이션 접근 제어 및 모니터링이 어렵다.
또한, 상기 MDM은 시스템 레벨의 네트워크 레이어 접근이 불가능하며 네트워크 데이터에 대한 행위 분석이 불가능하였다. 무엇보다도, 개인 프라이버시에 대한 보호 요구 등으로 사용자들이 개인기기 상에 MDM 에이전트 설치를 꺼려해 보급 및 확산이 어려우며, 더불어 다양한 단말 기기에 대한 지속적인 버전 관리 비용이 증가되었다.
이와 같이, 앞서 설명한 종래의 NAC 및 MDM 기술은 BYOD 및 스마트워크 환경에서 내부 자원을 보호하는데 한계가 있었다.
본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, 사용자별로 프로파일링(특정 개체를 식별하고 해당 개체의 행위를 묘사 가능한 정보 집합을 의미함) 하여 업무를 수행하면서 저장되는 사용자의 정상 행위들을 축적해 놓아 이를 이후 사용자의 비정상 접속 행위 및 악성 행위를 판단하는데 사용할 수 있는 정상 행위 프로파일을 이용한 비정상 접속 탐지 방법을 제공하는데 그 목적이 있다.
또한, 본 발명은 사용자의 접속 시간이나 위치 등 실시간 상황 정보와 이전 행위 기록 및 시스템내 모든 사용자의 평균치 및 통계치 등을 구성하는 정상 행위 프로파일에 기반하여 정상 행위 패턴화 요소와 비교한 비정상 접속 요소들을 실시간 탐지할 수 있는 비정상 접속 탐지 방법을 제공하는데 그 다른 목적이 있다.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 기능을 수행하기 위한, 본 발명의 특징은 다음과 같다.
본 발명의 일 관점에 따르면, BYOD 및 스마트워크 환경에서 정상 행위 프로파일을 이용한 비정상 접속 탐지 방법으로서, (a) 같은 계열의 접속 행위 요소들을 갖는 복수개의 접속 행위 패턴 정보를 추출하는 단계; (b) 상기 접속 행위 요소들의 패턴 조합에 따라 상기 접속 행위 요소별 현재에 일어날 행위 발생 확률을 계산하는 단계; (c) 상기 행위 발생 확률을 표준화하여 행위 표준 편차를 계산하는 단계; 및 (d) 계산된 상기 행위 발생 확률과 행위 표준 편차가 정상 행위에 해당되는지를 판단하여 상기 BYOD 환경 및 스마트워크 환경에서의 비정상 접속 행위 여부를 확인하는 단계;를 포함하는 비정상 접속 탐지 방법이 제공된다.
여기서, 본 발명의 일 관점에 따른 상기 (b) 단계는 상기 접속 행위 요소별 행위 요소 가중치를 고려한 가중 평균치 계산을 통해 상기 행위 발생 확률을 계산할 수 있다.
또한, 본 발명의 일 관점에 따른 상기 (b 단계의 패턴 조합은 상기 접속 행위 패턴 요소 중 나머지 제1 접속 행위 패턴 요소들의 행위하에서 현재에 일어날 제2 접속 행위 패턴 요소간 조합 패턴인 것이 바람직하다.
또한, 본 발명의 다른 일 관점에 따르면, BYOD 및 스마트워크 환경에서 정상 행위 프로파일을 이용한 비정상 접속 탐지 방법으로서, (a) 같은 계열의 접속 행위 요소들을 갖는 복수개의 접속 행위 패턴 정보를 추출하는 단계; (b) 상기 복수개의 접속 행위 패턴 정보중 임의의 접속 행위 패턴 정보별로 나머지 다른 복수개의 접속 행위 패턴 정보를 매칭시켜 매트릭스화하는 단계; (c) 상기 임의의 접속 행위 패턴 정보에 포함된 첫번째 현재 행위의 제1 접속 행위 요소를 추출하는 단계; 및 (d) 나머지 다른 접속 행위 패턴 요소들의 행위하에서 상기 제1 접속 행위 요소에 대한 현재 행위 발생 확률을 계산하는 단계;를 포함하는 비정상 접속 탐지 방법이 제공된다.
여기서, 본 발명의 다른 일 관점에 따른 비정상 접속 탐지 방법은 (e) 상기 임의의 접속 행위 패턴 정보중 상기 현재 행위 발생 확률 계산을 위한 다른 제2 접속 행위 요소들이 있는지를 판단하는 단계;를 더 포함할 수 있다.
또한, 본 발명의 다른 일 관점에 따른 비정상 접속 탐지 방법은 (f) 상기 (e) 단계의 판단 결과, 존재할 경우 상기 임의의 접속 행위 패턴 정보에 포함된 다음 현재 행위의 상기 제2 접속 행위 요소들을 추출하는 단계; 및 (g) 상기 추출된 제2 접속 행위 요소들에 대한 각 상기 현재 행위 발생 확률을 더 계산하는 단계;를 더 포함할 수 있다.
또한, 본 발명의 다른 일 관점에 따른 비정상 접속 탐지 방법은 (h) 상기 (e) 단계의 판단 결과, 더 이상 없을 경우 상기 제1 접속 행위 요소와 제2 접속 행위 요소들별로 행위 발생 확률에 대한 가중 평균치와 표준 편차를 계산하는 단계;를 더 포함할 수 있다.
또한, 본 발명의 다른 일 관점에 따른 비정상 접속 탐지 방법은 (i) 계산된 상기 가중 평균치와 표준 편차를 이용하여 정상 행위 발생 확률과 정상 표준편차 범위안에 있는지를 판단하여 비정상 접속 행위 여부를 확인하는 단계;를 더 포함할 수 있다.
이상과 같이, 본 발명에 따르면, 복수개의 접속 행위 요소를 추출한 후 나머지 다른 접속 행위 패턴 요소들의 행위하에서 해당하는 접속 행위 요소에 대한 현재 행위 발생 확률을 계산함으로써 비정상 접속 행위 및 악성 행위를 쉽게 판단 할 수 있기 때문에 BYOD 및 스마트워크 환경에서의 보안성을 향상시킬 수 있는 효과가 있다.
특히, 위와 같이, 비정상 접속 행위를 탐지하게 되면, BYOD 및 스마트워크 환경에서 내부 자원을 보호하는데 한계가 있는 기존의 NAC 및 MDM 기술을 대체할 수 있는 효과가 있다.
도 1은 본 발명의 제1 실시예에 따른 비정상 접속 탐지 방법(S100)을 예시적으로 나타낸 순서도이다.
도 2 내지 도 4는 본 발명의 제1 실시예에 따른 비정상 접속 탐지 방법(S100)을 통해 획득되는 데이터 상태를 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 따른 표준 편차 계산 방법을 예시적으로 나타낸 도면이다.
도 6 및 도 7은 본 발명의 제2 실시예에 따른 비정상 접속 탐지 방법(S200)을 예시적으로 나타낸 순서도이다.
도 8은 본 발명의 제2 실시예에 따른 접속행위 패턴 요소와 행위 발생 확률 계산을 나타낸 도면이다.
도 9는 본 발명의 제1 및 제2 실시예에 따른 정상 행위 프로파일 생성에서 부터 비정상 접속 행위 탐지 과정까지의 과정을 도식화하여 나타낸 도면이다.
도 2 내지 도 4는 본 발명의 제1 실시예에 따른 비정상 접속 탐지 방법(S100)을 통해 획득되는 데이터 상태를 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 따른 표준 편차 계산 방법을 예시적으로 나타낸 도면이다.
도 6 및 도 7은 본 발명의 제2 실시예에 따른 비정상 접속 탐지 방법(S200)을 예시적으로 나타낸 순서도이다.
도 8은 본 발명의 제2 실시예에 따른 접속행위 패턴 요소와 행위 발생 확률 계산을 나타낸 도면이다.
도 9는 본 발명의 제1 및 제2 실시예에 따른 정상 행위 프로파일 생성에서 부터 비정상 접속 행위 탐지 과정까지의 과정을 도식화하여 나타낸 도면이다.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
제1 실시예
도 1은 본 발명의 제1 실시예에 따른 비정상 접속 탐지 방법(S100)을 예시적으로 나타낸 순서도이고, 도 2 내지 도 4는 본 발명의 제1 실시예에 따른 비정상 접속 탐지 방법(S100)을 통해 획득되는 데이터 상태를 나타낸 도면이다.
도 1에 도시된 바와 같이, 본 발명의 제1 실시예에 따른 비정상 접속 탐지 방법(S100)은 BYOD 및/또는 스마트워크 환경에서 정상 행위 프로파일을 이용한 비정상 접속행위를 탐지하기 위하여, S110 단계 내지 S140 단계를 포함하여 이루어진다.
먼저, 본 발명에 따른 S110 단계에서는 사용자의 정상 행위 데이터를 모아 계산한 후 이를 토대로 정상 행위 프로파일을 도출한다.(접속행위패턴 생성 --> 발생행위수 계산 등을 통해 패턴화하여 정상 행위 프로파일 도출).
이와같이, 도출된 정상 행위 프로파일은 사용자 프로파일, 단말기기 프로파일 및 접속행위 프로파일을 포함한다. 이때, 사용자 프로파일은 사용자 권한정보, 총 인증 실패횟수, 최근 접속 일시, 최초 접속 일시, 총 이용시간 및 총 접 속횟수를 포함하고, 단말기기 프로파일은 기기 ID, 기기종류, 사용 OS, 사용 브라우져, 기기명, MAC, 에이젼트 설치 유무, 화면 잠금 여부, 설치 프로그램 정보, 자동 로그인 설정 및 최근 접속 일시를 포함하며, 상기 접속 행위 프로파일은 하기의 표 (1)과 같이 접속행위 패턴 정보(예 : 사용 기기 유형, 접속 주일대, 접속 시간대, 사용 OS, 사용 브라우져, 접속 위치, 접속 네트워크, 인증 소요 시간대)를 갖는다.
표 (1)
이런 다음, 본 발명에 따른 S110 단계에서는 도출된 정상 행위 프로파일로부터 같은 계열의 접속 행위 요소들을 갖는 복수개의 접속 행위 패턴 정보를 추출한다. 예를 들면,a1, a2, a3와 같은 접속 행위 요소, b1, b2, b3와 같은 접속 행위 요소들을 갖는 복수개의 접속 행위 패턴 정보(A, B)를 추출한다.
다시 말해, A 접속 행위 패턴 정보에는 a1, a2, a3와 같은 접속 행위 요소들을 가지며, B 접속 행위 패턴 정보에는 b1, b2, b3와 같은 접속 행위 요소들을 가질 수 있다. 이러한 예는 하기의 (표 1)에서와 같이 정리하여 나타낼 수 있다.
| 접속행위정보 | A | B | C |
| 접속행위요소 | a1, a2, a3 .. | b1, b2, b3 .. | c1, c2, c3 .. |
이후, 본 발명에 따른 S120 단계에서는 S110 단계에 의해 추출된 접속 행위 요소들의 패턴 조합을 실시한다. 이때, 상기 패턴 조합은 접속 행위 패턴 요소 중 나머지 제1 접속 행위 패턴 요소들의 행위하에서 현재에 일어날 제2 접속 행위 패턴 요소간 조합 패턴을 의미한다.
예를 들면, 도 2 및 도 3에서와 같이, 본 발명에 따른 S120 단계에서는 제1 접속 행위 패턴 요소, 예컨대 A{a1, a2}의 제1 접속 행위 패턴 요소들의 행위하에 B{b1, b2, b3}, C{c1, c2, c3}와 같은 제2 접속 행위 패턴 요소의 행위 발생 수간 조합 패턴을 이룰 수 있다.
이와 마찬가지로, B{b1, b2, b3}의 제1 접속 행위 패턴 요소들의 행위하에 A{a1, a2}, C{c1, c2, c3}와 같은 제2 접속 행위 패턴 요소의 행위 발생 수간 조합 패턴을 이루고, C{c1, c2, c3}의 제1 접속 행위 패턴 요소들의 행위하에 A{a1, a2}, B{b1, b2, b3}와 같은 제2 접속 행위 패턴 요소의 행위 발생 수간 조합 패턴을 이룰 수 있다.
이와 같이 다른 접속 행위 패턴 요소들의 행위하에 현재 일어날 제2 접속 행위 패턴 요소들을 알 수 있을 것이다.
이어서, 본 발명에 따른 120 단계에서는 도 4에서와 같이 위와 같은 패턴 조합에 따라 접속 행위 요소별 행위 요소 가중치를 고려한 가중 평균치 계산을 통해 행위 발생 확률을 계산한다.
즉, 도 4에서와 같이, a1 발생 확률을 P(a1)이라 정의하고, b3 발생 확률을 P(b3)라 정의하며, c3 발생 확률을 P(c3)라 정의하고, A 행위시 가중치를 WA=1, B 행위시 가중치를 WB=3, C 행위시 가중치를 WC=5라고 정의하면, 행위 발생 확률(P)= [(P(a1) * WA) + (P(b3) * WB) + (P(c3) * WC)] / W로 계산될 수 있다.
이후, 본 발명에 따른 S130 단계에서는 S120 단계에 의해 계산된 행위 발생 확률을 도 5에서와 같이 표준화하여 행위 표준 편차를 계산한다. 즉, 도 5에 도시된 식에 의하여 가중 평균에 대한 행위 표준 편차를 구할 수 있게 된다.
마지막으로, 본 발명에 따른 S140 단계에서는 S120 단계에 의해 계산된 행위 발생 확률과 S130 단계에 의해 계산된 행위 표준 편차가 정상 행위에 해당되는지를 판단하여 BYOD 환경 및 스마트워크 환경에서의 비정상 접속 행위 여부를 확인한다.
예를 들면, 하기의 표 2 및 표 3에서와 같이 정상 기준에 따라 정상 행위 확률(P)과 정상 표준 편차(SD)를 확인하게 되면, 행위 확률과 표준편차가 정상인지 아니면 비정상인지를 알 수 있고 이로써 의심 행위, 경고 행위 및 비정상 행위와 같은 비정상 접속 해위 여부를 알 수 있을 것이다.
| 구분 | 정상 기준 |
| 정상 행위 확률(P) | 60<P |
| 정상 표준 편차(SD) | SD>20 |
| 구분 | 최종 판단 | |
| 행위 확률 | 표준편차 | |
| 정상 | 비정상 | 의심 행위 |
| 비정상 | 정상 | 경고 행위 |
| 정상 | 비정상 | 비정상 행위 |
여기서, 상기 행위 확률이 정상이고, 표준 편차가 비정상인 경우에는 접속 행위 발생 가능성이 있는 경우이지만 일부 행위 요소는 발생 가능성이 낮은 상황을 의미하고, 상기 행위 확률이 비정상이고 표준 편차가 정상인 경우에는 전체적인 접속 행위 발생 가능성이 낮은 경우(각 행위 요소별 발생 가능성이 낮기 때문에 표준편차의 의미 없음)를 의미한다.
반면, 둘 다 비정상인 경우에는 전체적으로도 발생되기 어렵고, 일부 행위 요소에 대해서도 발생 가능성이 현저히 낮은 상황을 의미한다.
이와 같이, 본 실시예에서는 최종적으로 계산된 행위 발생 확률과 행위 표준 편차를 이용하여 비정상 접속 행위 여부를 알 수 있게 됨으로써, 기존의 NAC 및 MDM 기술보다도 BYOD 및 스마트워크 환경에서 보다 뛰어난 보안성을 유지할 수 있게 된다.
제2 실시예
도 6 및 도 7은 본 발명의 제2 실시예에 따른 비정상 접속 탐지 방법(S200)을 예시적으로 나타낸 순서도이다. 이러한 도 6 및 도 7을 설명하고자 앞서 도 2 내지 도 4와 (표 1) 내지 (표 3)을 함께 참고하기로 한다.
도시된 바와 같이, 본 발명의 제2 실시예에 따른 비정상 접속 탐지 방법(S200)은 BYOD 및/또는 스마트워크 환경에서 정상 행위 프로파일을 이용한 비정상 접속행위를 탐지하기 위하여, S210 단계 내지 S290 단계를 포함하여 이루어진다.
먼저, 본 발명에 따른 S210 단계에서는 정상 행위 프로파일로부터 같은 계열의 접속 행위 요소들을 갖는 복수개의 접속 행위 패턴 정보를 추출한다. 예를 들면,a1, a2, a3와 같은 접속 행위 요소, b1, b2, b3와 같은 접속 행위 요소들을 갖는 복수개의 접속 행위 패턴 정보(A, B)를 추출한다.
다시 말해, A 접속 행위 패턴 정보에는 a1, a2, a3와 같은 접속 행위 요소들을 가지며, B 접속 행위 패턴 정보에는 b1, b2, b3와 같은 접속 행위 요소들을 가질 수 있다. 이러한 예는 앞서 기재된 (표 1)에서와 같이 정리하여 나타낼 수 있다.
이후, 본 발명에 따른 S220 단계에서는 S110 단계에 의해 추출된 복수개의 접속 행위 패턴 정보, 예컨대 A, B, C의 접속 행위 패턴 정보중 중 임의의 접속 행위 패턴 정보별로 나머지 다른 복수개의 접속 행위 패턴 정보를 매칭시켜 매트릭스화한다.
예를 들면, 상기 임의의 접속 행위 패턴 정보가 A인 경우에는 B와 C가 나머지 다른 복수개의 접속 행위 패턴 정보에 해당되고, 상기 임의의 접속 행위 패턴 정보가 B인 경우에는 A와 C가 나머지 다른 복수개의 접속 행위 패턴 정보에 해당될 수 있다.
이에 따라, 위와 같은 S220 단계가 행해져 획득된 매트릭스 정보(패턴화된 행위 정보)는 도 3과 같이 정리하여 나타낼 수 있을 것이다.
이후, 본 발명에 따른 S230 단계에서는 임의의 접속 행위 패턴 정보에 포함된 첫번째 현재 행위의 제1 접속 행위 요소를 추출한다. 예를 들면, 현재 발생한 행위가 각각 a1, b2, c3의 순서로 발생하였다면, 이러한 a1, b2, c3와 같은 제1 접속 행위 요소들을 현재 행위 요소들로서 추출할 수 있을 것이다.
이후, 본 발명에 따른 S240 단계에서는 나머지 다른 접속 행위 패턴 요소들의 행위하에서 S130 단계에 의해 추출된 제1 접속 행위 요소에 대한 현재 행위 발생 확률을 계산한다.
예를 들면, 도 8에서와 같이 B(b1, b2, b3), C(c1, c2, c3)와 같은 나머지 다른 접속 행위 패턴 요소들의 행위하에 a1, a2와 같은 제1 접속 행위 요소들에 대한 현재 행위 발생 확률을 계산하거나, A(a1, a2, a3), C(c1, c2, c3)와 같은 나머지 다른 접속 행위 패턴 요소들의 행위하에 b1, b2, b3와 같은 제1 접속 행위 요소들에 대한 행위 발생 확률을 계산하게 된다.
이와 같이, 계산된 행위 발생 확률은 베이지안 이론을 적용하여 b2, c3 행위 시, a1 행위가 현재 일어날 확률만을 나타내었다. 이러한 확률 계산과 마찬가지로 나머지 현재 행위들도 발생 확률을 계산할 수 있을 것이다.
이후, 본 발명에 따른 S250 단계에서는 임의의 접속 행위 패턴 정보 중 현재 행위 발생 확률 계산을 위한 다른 제2 접속 행위 요소들이 있는지를 판단한다.
예를 들면, 앞서 S240 단계에서 설명된 제1 접속 행위 요소가 a1일 경우에는 a2가 제2 접속 행위 요소에 해당되고, 제1 접속 행위 요소가 a2인 경우에는 a1이 제2 접속 행위 요소에 해당될 경우 이러한 제2 접속 행위 요소들이 존재하는지를 S150 단계에서 판단하게 된다.
이후, 본 발명에 따른 S260 단계에서는 S250 단계의 판단 결과, 계속하여 존재할 경우 임의의 접속 행위 패턴 정보에 포함된 다음 현재 행위의 제2 접속 행위 요소들을 추출하게 된다.
이때, 상기 제2 접속 행위 요소들은 임의의 어느 하나를 가리키는 제1 접속 행위 요소들과 달리 복수개의 현재 발생 행위들을 의미한다. 따라서, 차례로 돌와오는 모든 접속 행위 요소들에 대하여 현재 행위 발생 확률을 더 계산할 수 있을 것이다(S270).
이후, 본 발명에 따른 S280 단계에서는 S240 단계의 판단 결과, 더 이상 없을 경우 제1 접속 행위 요소와 제2 접속 행위 요소들별로 행위 발생 확률에 대한 가중 평균치를 계산하게 된다.
예를 들면, 도 4에서와 같이, a1 발생 확률을 P(a1)이라 정의하고, b3 발생 확률을 P(b3)라 정의하며, c3 발생 확률을 P(c3)라 정의하고, A 행위시 가중치를 WA=1, B 행위시 가중치를 WB=3, C 행위시 가중치를 WC=5라고 정의하면, 가중 평균치에 기반한 행위 발생 확률(P)= [(P(a1) * WA) + (P(b3) * WB) + (P(c3) * WC)] / W로 계산될 수 있다.
이어서, 본 발명에 따른 S280 단계에서는 앞서 설명하였듯이 확인된 제1 접속 행위 요소와 제2 접속 행위 요소들별로 행위 발생 확률에 대한 가중 평균치를 계산한 후 이 결과를 토대로 도 5에서와 같이 표준 편차(행위 표준 편차)를 계산하게 된다.
이후, 본 발명에 따른 S290 단계에서는 S280 단계에 의해 계산된 행위 발생 확률에 대한 가중 평균치와 표준 편차를 이용하여 정상 행위 발생 확률과 정상 표준편차 범위안에 있는지를 판단하여 BYOD 환경 및 스마트워크 환경에서의 비정상 접속 행위 여부를 확인한다.
예를 들면, 앞서 기재된 표 2 및 표 3에서와 같이 정상 기준에 따라 정상 행위 확률(P)과 정상 표준 편차(SD)를 확인하게 되면, 행위 확률과 표준편차가 정상인지 아니면 비정상인지를 알 수 있고 이로써 의심 행위, 경고 행위 및 비정상 행위와 같은 비정상 접속 해위 여부를 알 수 있을 것이다.
여기서, 상기 행위 확률이 정상이고, 표준 편차가 비정상인 경우에는 접속 행위 발생 가능성이 있는 경우이지만 일부 행위 요소는 발생 가능성이 낮은 상황을 의미하고, 상기 행위 확률이 비정상이고 표준 편차가 정상인 경우에는 전체적인 접속 행위 발생 가능성이 낮은 경우(각 행위 요소별 발생 가능성이 낮기 때문에 표준편차의 의미 없음)를 의미한다.
반면, 둘 다 비정상인 경우에는 전체적으로도 발생되기 어렵고, 일부 행위 요소에 대해서도 발생 가능성이 현저히 낮은 상황을 의미한다.
이와 같이, 본 실시예에서는 최종적으로 계산된 행위 발생 확률과 행위 표준 편차를 이용하여 비정상 접속 행위 여부를 알 수 있게 됨으로써, 기존의 NAC 및 MDM 기술보다도 YOD 및 스마트워크 환경에서 보다 뛰어난 보안성을 유지할 수 있게 된다.
도 9는 본 발명의 제1 및 제2 실시예에 따른 정상 행위 프로파일 생성에서 부터 비정상 접속 행위 탐지 과정까지의 과정을 도식화하여 나타낸 도면이다.
도 9에 도시된 바와 같이, 본 실시예들에서는 사용자의 정상 행위 데이터를 모아 계산한후 정상 행위 프로파일을 먼저 생성한다. 이러한 정상 행위 프로파일은 접속행위패턴 정보를 생성한 후 발생 행위수 계산 등을 통해 패턴화된 결과를 의미한다.
이런 다음, 패턴화된 접속행위 패턴 정보와 현재 접속한 사용자의 데이터를 비교(베이지안 이론 이용하여 비교)하여 정상범위에서 벗어난지를 탐지하게 되는 것이다.
이상에서와 같이, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다.
Claims (8)
- BYOD 및 스마트워크 환경에서 정상 행위 프로파일을 이용한 비정상 접속 탐지 방법으로서,
(a) 같은 계열의 접속 행위 요소들을 갖는 복수개의 접속 행위 패턴 정보를 추출하는 단계;
(b) 상기 접속 행위 패턴 요소 중 나머지 제1 접속 행위 패턴 요소들의 행위 하에서 제2 접속 행위 패턴 요소의 행위 발생 수간 패턴 조합에 따라 상기 접속 행위 요소별 행위 요소 가중치를 고려한 가중 평균치 계산을 통해 현재 발생한 행위 발생 확률을 계산하는 단계;
(c) 상기 행위 발생 확률을 표준화하여 행위 표준 편차를 계산하는 단계; 및
(d) 계산된 상기 행위 발생 확률과 행위 표준 편차가 정상 행위에 해당되는지를 판단하여 상기 BYOD 환경 및 스마트워크 환경에서의 비정상 접속 행위 여부를 확인하는 단계를 포함하는 비정상 접속 탐지 방법. - 삭제
- 삭제
- BYOD 및 스마트워크 환경에서 정상행위 프로파일을 이용한 비정상 접속 탐지 방법으로서,
(a) 같은 계열의 접속 행위 요소들을 갖는 복수개의 접속행위 패턴정보를 추출하는 단계;
(b) 상기 복수개의 접속행위 패턴정보 중 임의의 접속행위 패턴정보 별로 나머지 다른 복수개의 접속행위 패턴정보를 매칭시켜 매트릭스화하는 단계;
(c) 상기 임의의 접속행위 패턴정보에 포함된 첫번째 현재 행위의 제1 접속 행위요소를 추출하는 단계;
(d) 나머지 다른 접속 행위 패턴 요소들의 행위 하에서 상기 제1 접속행위 요소에 대한 현재 행위 발생 확률을 계산하는 단계;
(e) 상기 임의의 접속행위 패턴정보 중 상기 현재 행위발생 확률 계산을 위한 다른 제2 접속 행위 요소들이 있는지를 판단하는 단계;
(f) 상기 (e) 단계의 판단 결과, 존재할 경우 상기 임의의 접속행위 패턴정보에 포함된 다음 현재 행위의 상기 제2 접속행위 요소들을 추출하는 단계;
(g) 상기 추출된 제2 접속행위 요소들에 대한 각 상기 현재 행위발생 확률을 더 계산하는 단계;
(h) 상기 (e) 단계의 판단 결과, 더 이상 없을 경우 상기 제1 접속 행위 요소와 제2 접속 행위 요소들별로 행위 발생 확률에 대한 가중 평균치와 표준 편차를 계산하는 단계; 및
(i) 계산된 상기 가중 평균치와 표준 편차를 이용하여 정상 행위 발생 확률과 정상 표준편차 범위안에 있는지를 판단하여 비정상 접속 행위 여부를 확인하는 단계를 포함하여 이루어지는 것을 특징으로 하는 비정상 접속 탐지 방법. - 삭제
- 삭제
- 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20130162174A KR101500448B1 (ko) | 2013-12-24 | 2013-12-24 | 정상 행위 프로파일을 이용한 비정상 접속 탐지 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20130162174A KR101500448B1 (ko) | 2013-12-24 | 2013-12-24 | 정상 행위 프로파일을 이용한 비정상 접속 탐지 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101500448B1 true KR101500448B1 (ko) | 2015-03-09 |
Family
ID=53026880
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR20130162174A KR101500448B1 (ko) | 2013-12-24 | 2013-12-24 | 정상 행위 프로파일을 이용한 비정상 접속 탐지 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101500448B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10298604B2 (en) | 2016-09-05 | 2019-05-21 | Cisco Technology, Inc. | Smart home security system |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060028601A (ko) * | 2004-09-25 | 2006-03-30 | 한국전자통신연구원 | 네트워크 트래픽 이상 징후 감지 장치 및 그 방법 |
-
2013
- 2013-12-24 KR KR20130162174A patent/KR101500448B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060028601A (ko) * | 2004-09-25 | 2006-03-30 | 한국전자통신연구원 | 네트워크 트래픽 이상 징후 감지 장치 및 그 방법 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10298604B2 (en) | 2016-09-05 | 2019-05-21 | Cisco Technology, Inc. | Smart home security system |
| US11019086B2 (en) | 2016-09-05 | 2021-05-25 | Cisco Technology, Inc. | Smart home security system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101501669B1 (ko) | 비정상 행위를 탐지하기 위한 행위 탐지 시스템 | |
| US10601860B2 (en) | Application platform security enforcement in cross device and ownership structures | |
| KR101600295B1 (ko) | 개인화된 접속주기 전체 이용행위 패턴분석을 이용한 비정상 행위 탐지시스템 | |
| US9882912B2 (en) | System and method for providing authentication service for internet of things security | |
| Meng et al. | A bayesian inference-based detection mechanism to defend medical smartphone networks against insider attacks | |
| KR101619414B1 (ko) | 개인화된 초기 이용행위 패턴분석을 이용한 비정상 행위 탐지시스템 | |
| US10097572B1 (en) | Security for network computing environment based on power consumption of network devices | |
| US20100074112A1 (en) | Network traffic monitoring devices and monitoring systems, and associated methods | |
| US8898784B1 (en) | Device for and method of computer intrusion anticipation, detection, and remediation | |
| KR20170082937A (ko) | 개인화된 접속주기 전체 이용행위 2차 분석을 이용한 비정상 행위 탐지시스템 | |
| CN104462970A (zh) | 一种基于进程通信的Android应用程序权限滥用检测方法 | |
| CN109347806A (zh) | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 | |
| US20210256126A1 (en) | Privacy-preserving content classification | |
| CN110622539A (zh) | 检测伪小区塔 | |
| US11539731B2 (en) | Dynamic hyper context-driven microsegmentation | |
| KR20170082936A (ko) | 개인화된 접속주기 전체 이용행위 패턴 오차율 편차를 고려한 비정상 행위 탐지시스템 | |
| US9622081B1 (en) | Systems and methods for evaluating reputations of wireless networks | |
| US10015768B1 (en) | Systems and methods for locating unrecognized computing devices | |
| CN107566430B (zh) | 一种电力移动终端合规性检查与策略控制系统 | |
| Peng et al. | T-dominance: Prioritized defense deployment for BYOD security | |
| Muhammad et al. | Developing an intelligent filtering technique for bring your own device network access control | |
| KR101500448B1 (ko) | 정상 행위 프로파일을 이용한 비정상 접속 탐지 방법 | |
| Liatifis et al. | Dynamic risk assessment and certification in the power grid: a collaborative approach | |
| Celosia et al. | Detecting smartphone state changes through a Bluetooth based timing attack | |
| Nair et al. | Intrusion detection in Bluetooth enabled mobile phones |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20180306 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20190227 Year of fee payment: 5 |