KR101914874B1 - 연관 관계 분석 규칙 생성 방법, 이를 수행하기 위한 기록 매체, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법 및 장치 - Google Patents

연관 관계 분석 규칙 생성 방법, 이를 수행하기 위한 기록 매체, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법 및 장치 Download PDF

Info

Publication number
KR101914874B1
KR101914874B1 KR1020170093563A KR20170093563A KR101914874B1 KR 101914874 B1 KR101914874 B1 KR 101914874B1 KR 1020170093563 A KR1020170093563 A KR 1020170093563A KR 20170093563 A KR20170093563 A KR 20170093563A KR 101914874 B1 KR101914874 B1 KR 101914874B1
Authority
KR
South Korea
Prior art keywords
security
security log
association
internal information
rule
Prior art date
Application number
KR1020170093563A
Other languages
English (en)
Inventor
김명호
서민지
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Priority to KR1020170093563A priority Critical patent/KR101914874B1/ko
Application granted granted Critical
Publication of KR101914874B1 publication Critical patent/KR101914874B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

연관 관계 분석 규칙 생성 방법, 이를 수행하기 위한 기록 매체, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법 및 장치를 개시한다.
내부 정보 유출 사고 직원의 보안 로그를 수집하는 단계; 상기 수집된 보안 로그 중에서 내부 정보 유출과 관련된 보안 로그를 추출하는 단계; 및 각 보안 로그들에 대한 발생 빈도와 보안 로그들 간의 연관 관계를 분석하여 서로 연관성을 보이는 보안 로그 그룹으로 연관 관계 분석 규칙을 생성하는 단계;를 포함하는 것이 바람직하다.

Description

연관 관계 분석 규칙 생성 방법, 이를 수행하기 위한 기록 매체, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법 및 장치{METHOD FOR GENERATING ASSOCIATION ANALYSIS RULE, RECORDING MEDIUM FOR PERFORMING THE METHOD, METHOD AND APPARATUS FOR DETECTING corporate data leakage USING ASSOCIATION ANALYSIS RULE}
본 발명은 연관 관계 분석 규칙 생성 방법, 이를 수행하기 위한 기록 매체, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법 및 장치에 관한 것이다.
IT 기술의 성능 향상과 보급으로 인하여, 기업에서는 지적 재산권, 금융 정보, 개인 정보 등과 같은 중요 기밀 정보를 디지털화하여 서버에 보관하고 있다.
이와 같이, 서버에 중용 기밀 정보를 디지털화하여 보관하는 방식은 정보의 처리가 효율적으로 이루어질 수 있다는 장점을 가지고 있으나, 기업 내부 직원이 웹 메일이나 이동 장치와 같은 다양한 수단을 이용하여 데이터가 쉽게 유출될 수 있다는 단점이 있다.
이에 따라, 기업에서는 내부 정보 유출 사건을 방지하기 위해 DLP(Data Loss Prevention), DRM(Data Rights Managements) 등의 보안 솔루션 시스템을 적용하여, 내부 직원의 업무 활동을 감시하고 결과를 기록하여, 보안 관제 시스템인 SIEM(Security Information & Event Management) 솔루션을 통해 각 업무 활동에서 발생한 보안 로그를 종합적으로 분석하여 데이터 유출 경로를 파악할 수 있도록 한다.
하지만, SIEM 솔루션은 관리자가 지정한 규칙을 기반으로 보안 로그를 분석하기 때문에, 새로운 패턴의 데이터 유출이 나타났을 경우 이를 제대로 탐지할 수 없다는 문제점이 있다.
한국등록특허공보 제10-0980117호(공고일 2010.09.07.)
본 발명은 이러한 문제점을 해결하기 위해 안출된 것으로, 내부 정보 유출과 관련된 보안 로그 간의 연관 관계를 분석하여, 내부 정보 유출을 탐지하는 연관 관계 분석 규칙을 생성할 수 있도록 하는 연관 관계 분석 규칙 생성 방법 및 이를 수행하기 위한 기록 매체를 제공함에 그 목적이 있다.
본 발명의 다른 목적은 보안 로그 분석 규칙과 연관 관계 분석 규칙을 기반으로 각 직원의 업무 활동에서 수집한 보안 로그를 분석하여 다양한 경로를 통한 데이터 유출을 탐지할 수 있도록 하는 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법 및 장치를 제공함에 있다.
전술한 목적을 달성하기 위한 본 발명의 일 실시예에 따른 연관 관계 분석 규칙 생성 방법은, 내부 정보 유출 사고 직원의 보안 로그를 수집하는 단계; 상기 수집된 보안 로그 중에서 내부 정보 유출과 관련된 보안 로그를 추출하는 단계; 및 각 보안 로그들에 대한 발생 빈도와 보안 로그들 간의 연관 관계를 분석하여 서로 연관성을 보이는 보안 로그 그룹으로 연관 관계 분석 규칙을 생성하는 단계;를 포함하는 것이 바람직하다.
본 발명의 일 실시예에서, 상기 연관 관계 분석 규칙을 생성하는 단계는, 상기 추출된 보안 로그 집합에서 연관 관계 분석 항목을 추출하는 단계; 상기 추출된 연관 관계 분석 항목을 이용하여 항목 집합을 구성하고, 상기 항목 집합에 대한 지지도를 계산하는 단계; 상기 계산된 지지도를 기설정된 임계값과 비교하여, 계산된 지지도가 기설정된 임계값 이상인 항목 집합을 바탕으로 다음 단계의 항목 집합을 구성하고, 다음 단계의 항목 집합에 대해 지지도와 신뢰도를 계산하는 단계; 및 상기 지지도와 신뢰도를 기반으로 선별된 항목 집합을 토대로 연관 관계 분석 규칙을 생성하는 단계;를 포함하는 것이 바람직하다.
본 발명의 일 실시예에서, 상기 지지도를 계산하는 단계는, 상기 추출된 연관 관계 분석 항목을 이용하여 1개의 항목으로 이루어지는 1-항목 집합을 구성하고, 상기 1-항목 집합을 구성하는 각각의 항목 집합에 대해 지지도를 계산하는 단계인 것이 바람직하다.
본 발명의 일 실시예에서, 상기 지지도와 신뢰도를 계산하는 단계는, 상기 계산된 지지도가 기설정된 임계값 이상인 항목 집합을 바탕으로 항목 개수를 늘려 n개의 항목으로 이루어지는 n-항목 집합을 구성하고, n-항목 집합을 구성하는 각각의 항목 집합에 대해 지지도와 신뢰도를 계산하고, 상기 계산된 지지도와 신뢰도를 기설정된 임계값과 비교하여, 계산된 지지도와 신뢰도가 기설정된 임계값 이상인 항목 집합을 바탕으로 다음 단계의 항목 집합을 구성하여 지지도와 신뢰도를 계산하는 과정을 반복하는 단계인 것이 바람직하다.
본 발명의 일 실시예에서, 상기 지지도와 신뢰도를 계산하는 과정을 반복하는 단계는, 계산할 다음 단계의 항목 집합이 존재하지 않을 때까지 반복되는 것이 바람직하다.
본 발명의 일 실시예에서, 상기 지지도는, 각각의 항목 집합이 전체 보안 로그 집합에서 차지하는 비율이고, 상기 신뢰도는, 항목1이 기록된 내부 정보 유출 사고 중에서 항목1과 항목2가 모두 기록된 내부 정보 유출 사고가 차지하는 비율인 것이 바람직하다.
본 발명의 일 실시예에서, 상기 내부 정보 유출과 관련된 보안 로그는, 상기 내부 정보 유출 사고 직원의 보안 로그에서 처음으로 이상이 감지된 시점부터 내부 정보가 유출된 시점까지의 보안 로그인 것이 바람직하다.
한편, 본 발명의 일 실시예에 따른 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법은, 내부 직원별로 보안 로그를 수집하는 단계; 및 내부 정보 유출 사고 시에 일정 빈도 이상 나타나는 보안 로그 목록으로 이루어진 보안 로그 분석 규칙과, 내부 정보 유출 사고 시에 나타나는 보안 로그 간의 연관 관계를 분석하여 서로 연관성을 보이는 보안 로그 그룹 목록으로 이루어진 연관 관계 분석 규칙을 기반으로 상기 내부 직원별로 수집된 보안 로그를 분석하여 내부 정보 유출 여부를 탐지하는 단계;를 포함하는 것이 바람직하다.
본 발명의 일 실시예에서, 상기 보안 로그 분석 규칙은, 내부 직원의 업무 활동을 감시하는 보안 솔루션별로 정의되는 것이 바람직하다.
한편, 본 발명의 일 실시예에 따른 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 장치는, 내부 직원별로 수집된 보안 로그를 저장하는 보안 로그 수집 DB; 내부 정보 유출 사고 시에 나타나는 보안 로그 목록으로 이루어진 보안 로그 분석 규칙을 저장하는 보안 로그 분석 규칙 DB; 내부 정보 유출 사고 시에 나타나는 보안 로그 간의 연관 관계를 분석하여 서로 연관성을 보이는 보안 로그 그룹 목록으로 이루어진 연관 관계 분석 규칙을 저장하는 연관 관계 분석 규칙 DB; 및 상기 보안 로그 분석 규칙과 상기 연관 관계 분석 규칙을 기반으로 상기 내부 직원별로 수집된 보안 로그를 분석하여 내부 정보 유출 여부를 탐지하는 내부 정보 유출 탐지부;를 포함하는 것이 바람직하다.
본 발명의 연관 관계 분석 규칙 생성 방법, 이를 수행하기 위한 기록 매체, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법 및 장치는, 데이터 유출 사고에서 자주 나타나는 보안 로그 목록을 정의한 보안 로그 분석 규칙과, 데이터 유출 직원의 활동에서 수집한 보안 로그간의 연관 관계를 분석하여 서로 연관된 유출 행동을 그룹화하여 정의한 연관 관계 분석 규칙을 기반으로 각 직원의 업무 활동에서 수집한 보안 로그를 분석하여 다양한 경로를 통한 데이터 유출을 탐지할 수 있게 된다.
도 1 및 도 2는 본 발명의 일 실시예에 따른 연관 관계 분석 규칙 생성 방법을 설명하기 위한 처리도이다.
도 3은 본 발명의 일 실시예에 따른 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법을 설명하기 위한 처리도이다.
도 4는 본 발명의 일 실시예에 따른 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 장치의 구성을 개략적으로 보인 도면이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예와 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하에서는 첨부한 도면들을 참조하여 본 발명의 바람직한 실시예에 따른 연관 관계 분석 규칙 생성 방법, 이를 수행하기 위한 기록 매체, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법 및 장치에 대해서 상세하게 설명하기로 한다.
도 1 및 도 2는 본 발명의 일 실시예에 따른 연관 관계 분석 규칙 생성 방법을 설명하기 위한 처리도이다.
본 발명에 따른 연관 관계 분석 규칙 생성 방법은, 연관 관계 분석 규칙을 생성하기 위한 소프트웨어(애플리케이션)에 의해 실행될 수 있다.
우선, 본 발명의 일 실시예에 따른 연관 관계 분석 규칙 생성 방법은 도 1에 도시하는 바와 같이, 과거 내부 정보 유출 사고를 일으킨 직원의 업무 활동에서 출력된 보안 로그를 수집한다(10).
그리고 상기한 단계 10에서 수집된 보안 로그 중에서 내부 정보 유출과 관련된 보안 로그를 추출한다(20).
상기한 단계 20에서 내부 정보 유출과 관련된 보안 로그를 추출하는 이유는, 내부 정보 유출과 관련이 없는 보안 로그를 연관 관계 분석에서 제외시켜, 불필요한 연관 관계 분석을 수행하지 않도록 하기 위함이다.
상기한 단계 20에서 추출되는 내부 정보 유출과 관련된 보안 로그는, 내부 정보 유출 사고를 일으킨 직원의 보안 로그에서 처음으로 이상이 감지된 시점부터 내부 정보가 유출된 시점까지의 보안 로그이다.
이후에는, 상기한 단계 20에서 추출된 각각의 보안 로그들에 대한 발생 빈도와 보안 로그들 간의 연관 관계를 분석하여 선별된 서로 연관성을 보이는 보안 로그 그룹으로 연관 관계 분석 규칙을 생성한다(30).
상기한 단계 30에서 생성되는 연관 관계 분석 규칙은 일 예로 Apriori 알고리즘을 통해 과거의 내부 정보 유출 사고에서 수집한 보안 로그 간의 연관 관계를 분석하여 정의될 수 있다.
전술한, Apriori 알고리즘은 연관 규칙(Association Rule) 탐색의 대표적인 기법 중의 하나로, 데이터들에 대한 발생 빈도를 기반으로 각 데이터 간의 연관 관계를 밝히기 위한 기법이다.
이하에서는 도 2를 참조하여 상기한 단계 30에 대해 좀 더 자세히 살펴보기로 한다.
우선, 상기한 단계 20에서 추출한 보안 로그 집합에서 연관 관계 분석 항목을 추출한다(31).
상기한 단계 20에서 추출한 보안 로그 집합이 예를 들어 표 1과 같다고 가정했을 때, 이 보안 로그 집합에서 추출될 수 있는 연관 관계 분석 항목은 DRM, DLP, 메일 관리 시스템, DRM 문서 권한 요청, DRM 문서 다운로드, 이미지 캡쳐, 메일에 파일 첨부, 메일에 기밀 정보 포함 등이 될 수 있다.
트랜잭션 ID 보안 솔루션 세부 시나리오
T1 DRM DRM 문서 권한 요청
DRM DRM 문서 다운로드
DLP 이미지 캡쳐
메일 관리 시스템 메일에 파일 첨부
T2 DRM DRM 문서 권한 요청
DRM DRM 문서 다운로드
메일 관리 시스템 메일에 기밀 정보 포함
메일 관리 시스템 메일에 파일 첨부
T3 DRM DRM 문서 권한 요청
DRM DRM 문서 다운로드
메일 관리 시스템 메일에 기밀 정보 포함
표 1에서, 보안 솔루션은 직원의 업무 활동을 감시하여 각각의 보안 로그를 출력하는 장비로 정의될 수 있고, 세부 시나리오는 각각의 보안 로그에 대응하는 행동으로 정의될 수 있다.
상기한 단계 31을 통해 연관 관계 분석 항목을 추출한 후에는, 추출한 연관 관계 분석 항목을 이용하여 표 2에 나타내는 바와 같이 1개의 항목으로 이루어지는 1-항목 집합을 구성하고(32), 1-항목 집합을 구성하는 각각의 항목 집합에 대해 지지도를 계산하여, 1-항목 집합을 구성하는 각각의 항목 집합이 상기한 단계 에서 추출된 보안 로그 집합에서 차지하는 비율을 파악한다(33).
항목 1
DRM
DLP
메일 관리 시스템
DRM 문서 권한 요청
DRM 문서 다운로드
이미지 캡쳐
메일에 파일 첨부
메일에 기밀 정보 포함
지지도는 상기한 단계 20에서 추출된 보안 로그 집합에서 각각의 항목 집합이 나타난 빈도로, 지지도를 통해 상기한 단계 20에서 추출된 보안 로그 집합에서 각각의 항목 집합이 차지하는 비율을 파악할 수 있다. 예를 들어, 전체 보안 로그가 1,000개이고, 이 중에서 DRM이 기록된 보안 로그가 400개라고 가정했을 때, DRM에 대한 지지도는 400/1,000=40%가 된다.
전술한 바와 같이 1-항목 집합을 구성하는 각각의 항목 집합에 대해 지지도를 계산한 후에는, 계산된 지지도에 의거하여 각각의 항목 집합이 상기한 단계 20에서 추출된 보안 로그 집합에서 차지하는 비율이 관리자에 의해 기설정된 임계값을 만족하는지 여부를 확인하여, 계산된 지지도가 기설정된 임계값 이하인 항목에 대해서는 연관 관계 분석 후보에서 제외시키고, 계산된 지지도가 기설정된 임계값 이상인 항목에 대해서만 연관 관계 분석 후보로 남긴다.
예를 들어, 표 2의 1-항목 집합을 구성하고 있던 DLP 항목과 이미지 캡쳐 항목이 관리자에 의해 기설정된 지지도 값을 만족하지 못하는 경우, DLP 항목과 이미지 캡쳐 항목은 후보 항목에서 제외될 수 있다.
이후에는 지지도가 기설정된 임계값 이상인 항목 집합을 바탕으로 항목의 개수를 늘려 다음 단계의 항목 집합을 구성한다(34).
즉, 항목의 개수를 2개로 늘려 표 3에 나타내는 바와 같이 2개의 항목으로 이루어지는 2-항목 집합을 새로 구성한다.
항목 1 항목 2
DRM DRM 문서 접근 승인 요청
DRM DRM 문서 다운로드
DRM 메일에 파일 첨부
DRM 메일 관리 시스템
DRM 메일에 기밀 정보 포함
메일 관리 시스템 DRM 문서 접근 승인 요청
메일 관리 시스템 DRM 문서 다운로드
메일 관리 시스템 메일 파일 첨부
메일 관리 시스템 메일에 기밀 정보 포함
DRM 문서 접근 승인 요청 DRM 문서 다운로드
DRM 문서 접근 승인 요청 메일에 파일 첨부
DRM 문서 접근 승인 요청 메일에 기밀 정보 포함
DRM 문서 다운로드 메일에 파일 첨부
DRM 문서 접근 승인 요청 메일에 기밀 정보 포함
메일에 파일 첨부 메일에 기밀 정보 포함
그리고 2-항목 집합을 구성하는 각각의 항목 집합에 대해 지지도를 계산한다. 예를 들어, 전체 보안 로그가 1,000개이고, DRM이 기록된 보안 로그 중에서 DRM 문서 접근 승인 요청이 기록된 보안 로그가 100개라고 가정했을 때, DRM과 DRM 문서 접근 승인 요청으로 이루어지는 항목 집합에 대한 지지도는 100/1,000=10%가 된다.
전술한 바와 같이 2-항목 집합을 구성하는 각각의 항목 집합(항목1, 항목2)에 대해 지지도를 계산한 후에는, 계산된 지지도에 의거하여 각각의 항목 집합이 상기한 단계 20에서 추출된 보안 로그 집합에서 차지하는 비율이 관리자에 의해 기설정된 임계값을 만족하는지 여부를 확인하여, 계산된 지지도가 기설정된 임계값 이하인 항목 집합에 대해서는 연관 관계 분석 후보에서 제외시키고, 계산된 지지도가 기설정된 임계값 이상인 항목 집합에 대해서만 연관 관계 분석 후보로 남긴다.
이후에는 지지도가 기설정된 임계값 이상인 항목 집합을 대상으로 신뢰도를 계산하여 각각의 항목 집합 간의 연관 관계를 분석한다.
여기서, 신뢰도는 항목1이 기록된 내부 정보 유출 사고 중에서 항목1과 항목2가 모두 기록된 내부 정보 유출 사고가 차지하는 비율이다. 예를 들어, DRM이 기록된 내부 정보 유출 사고가 400개이고, DRM이 기록된 사고 중에서 DRM 문서 권한 요청이 기록된 사고가 100개라고 가정했을 때, DRM과 DRM 문서 접근 승인 요청으로 이루어지는 항목 집합에 대한 신뢰도는 100/400=25%가 된다.
전술한 바와 같이, 2-항목 집합을 구성하는 각각의 항목 집합(항목1, 항목2)에 대한 신뢰도를 계산한 후에는, 계산된 신뢰도가 관리자에 의해 기설정된 임계값을 만족하는지 여부를 확인하여, 계산된 신뢰도가 기설정된 임계값 이하인 항목 집합에 대해서는 연관 관계 분석 후보에서 제외시키고, 계산된 신뢰도가 기설정된 임계값 이상인 항목 집합에 대해서만 연관 관계 분석 후보로 남긴다.
이후에는 지지도와 신뢰도가 기설정된 임계값 이상인 항목 집합들을 바탕으로 항목의 개수를 3개로 늘려 3개의 항목으로 이루어지는 3-항목 집합을 새로 구성하고, 3-항목 집합을 구성하는 각각의 항목 집합에 대해 지지도와 신뢰도를 계산하는 과정을 반복 수행한다.
전술한 바와 같이, 지지도와 신뢰도가 기설정된 임계값 이상인 항목 집합들을 바탕으로, 항목 집합을 구성하는 항목의 개수를 늘려 n개의 항목으로 이루어지는 n-항목 집합을 구성하고, n-항목 집합을 구성하는 각각의 항목 집합에 대해 지지도와 신뢰도를 계산하는 작업을 반복 수행하되, 지지도와 신뢰도 계산은 더 이상 계산할 항목 집합 후보가 없을 때까지 반복한다(34, 35, 36).
전술한 바와 같이 지지도와 신뢰도를 기반으로 항목 집합을 모두 선별하면, 최종적으로 나타난 항목 집합을 토대로 연관 관계 분석 규칙을 생성한다(37).
표 4는 본 발명의 일 실시예에 따라 생성된 연관 관계 분석 규칙을 예시적으로 보인 것으로, 'DRM', 'DRM 문서 접근 승인 요청', 'DRM 문서 다운로드', '메일 관리 시스템', '메일에 기밀 정보 포함', '메일에 파일 첨부' 항목을 묶은 6-항목 집합이 최종적으로 출력되는 경우, 이 6-항목 집합을 통해 연관 관계 분석 규칙을 생성한다.
보안 솔루션 세부 시나리오
DRM DRM 문서 접근 승인 요청
DRM 문서 다운로드
메일 관리 시스템 메일에 기밀 정보 포함
메일에 파일 첨부
표 4와 같은 연관 관계 분석 규칙을 통해 내부 정보 유출 시에, DRM 문서를 다운받을 때는 대부분 관리자에게 DRM 문서에 대한 접근 권한을 요청하며, DRM 문서를 다운로드 받은 이후에는 메일로 다운로드 받은 DRM 문서를 전송하거나, 메일에 해당 문서의 내용을 직접 입력하여 전송하는 것을 알 수 있게 된다.
이와 같은 연관 관계 분석 규칙 생성 방법은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.
상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.
프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
도 3은 본 발명의 일 실시예에 따른 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법을 설명하기 위한 처리도이다.
우선, 보안 로그 수집부는 내부 직원별로 보안 로그를 수집하고, 내부 직원별로 수집된 보안 로그를 보안 로그 수집 DB에 저장한다(110).
상기한 단계 110을 통해 내부 직원별로 보안 로그가 수집되면, 내부 정보 유출 탐지부는 보안 로그 분석 규칙 DB에 저장되어 있는 보안 로그 분석 규칙과 연관 관계 분석 규칙 DB에 저장되어 있는 연관 관계 분석 규칙을 기반으로, 내부 직원별로 수집된 보안 로그를 분석하여 내부 정보 유출 여부를 탐지한다(120).
여기서, 내부 정보 유출 여부 탐지에 사용되는 보안 로그 분석 규칙은 내부 정보 유출 사고 시에 일정 빈도 이상 자주 나타나는 보안 로그 목록으로 이루어진 것으로, 내부 정보 유출 사고가 발생할 때 내부 정보 유출 사고 직원에게서 나타나는 행동 패턴을 토대로 관리자가 내부 정보 유출 여부를 판별할 기준이 되는 보안 로그 목록을 사전에 설정하여 생성한다.
이러한 보안 로그 분석 규칙은, 내부 직원의 업무 활동을 감시하는 보안 솔루션(예를 들어, DRM, 메일 관리 시스템, DLP 등)별로 정의되는 것이 바람직하며, 각 보안 솔루션에서 나타날 수 있는 행동 중에서 내부 정보 유출과 관련이 높은 보안 로그 목록을 선별하여 구성한다. 예를 들어, 메일 관리 시스템 보안 솔루션에서는 1. 메일 전송 회수, 2. 파일 첨부 회수, 3. 첨부한 파일의 크기와 관련된 보안 로그 목록으로 구성된다. 이때, 메일 관리 시스템은 하나의 보안 로그 분석 규칙이 되며, 세 가지의 행동 목록은 해당 보안 로그 분석 규칙을 구성하는 세부 시나리오 목록이 된다.
한편, 연관 관계 분석 규칙은 도 1 및 도 2를 참조하여 설명한 연관 관계 분석 규칙 생성 방법을 통해 생성된 규칙으로, 내부 정보 유출 사고 시에 나타나는 보안 로그 간의 연관 관계를 분석하여 서로 연관성을 보이는 보안 로그 그룹 목록으로 이루어진다.
도 4는 본 발명의 일 실시예에 따른 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 장치의 구성을 개략적으로 보인 도면이다.
도 4에서 보안 로그 DB(1100)는 내부 직원의 업무 활동에서 수집한 보안 로그를 저장한다.
내부 직원 DB(1200)는 내부 직원에 대한 정보를 저장한다.
보안 로그 수집부(1300)는 보안 로그 DB(1100)에 저장되어 있는 보안 로그를 내부 직원별로 수집하여 보안 로그 수집 DB(1400)에 저장한다.
보안 로그 수집 DB(1400)는 보안 로그 수집부(1300)에 의해 내부 직원별로 수집된 보안 로그를 저장한다.
보안 로그 분석 규칙 DB(1600)는 내부 정보 유출 사고 시에 일정 빈도 이상 자주 나타나는 보안 로그 목록으로 이루어진 보안 로그 분석 규칙을 저장한다.
연관 관계 석 규칙 DB(1700)는 내부 정보 유출 사고 시에 나타나는 보안 로그 간의 연관 관계를 분석하여 서로 연관성을 보이는 보안 로그 그룹 목록으로 이루어진 연관 관계 분석 규칙을 저장한다.
내부 정보 유출 탐지부(1500)는 보안 로그 분석 규칙 DB(1600)에 저장되어 있는 보안 로그 분석 규칙과 연관 관계 석 규칙 DB(1700)에 저장되어 있는 연관 관계 분석 규칙을 기반으로 내부 직원별로 수집된 보안 로그를 분석하여 내부 정보 유출 여부를 탐지한다.
이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
1100. 보안 로그 DB, 1200. 내부 직원 DB,
1300. 보안 로그 수집부, 1400. 보안 로그 수집 DB,
1500. 내부 정보 유출 탐지부, 1600. 보안 로그 분석 규칙 DB,
1700. 연관 관계 분석 규칙 DB

Claims (11)

  1. 내부 정보 유출 사고 직원의 보안 로그를 수집하는 단계;
    상기 수집된 보안 로그 중에서 내부 정보 유출과 관련된 보안 로그를 추출하는 단계; 및
    각 보안 로그들에 대한 발생 빈도와 보안 로그들 간의 연관 관계를 분석하여 서로 연관성을 보이는 보안 로그 그룹으로 연관 관계 분석 규칙을 생성하는 단계;를 포함하고,
    상기 연관 관계 분석 규칙을 생성하는 단계는,
    상기 추출된 보안 로그 집합에서 연관 관계 분석 항목을 추출하는 단계;
    상기 추출된 연관 관계 분석 항목을 이용하여 항목 집합을 구성하고, 상기 항목 집합에 대한 지지도를 계산하는 단계;
    상기 계산된 지지도를 기설정된 임계값과 비교하여, 계산된 지지도가 기설정된 임계값 이상인 항목 집합을 바탕으로 다음 단계의 항목 집합을 구성하고, 다음 단계의 항목 집합에 대해 지지도와 신뢰도를 계산하는 단계; 및
    상기 지지도와 신뢰도를 기반으로 선별된 항목 집합을 토대로 연관 관계 분석 규칙을 생성하는 단계;를 포함하고,
    상기 내부 정보 유출과 관련된 보안 로그는,
    내부 직원으로부터 발생한 보안 로그로써 DRM(Data Rights Managements), DLP(Data Loss Prevention), 메일 관리 시스템, DRM 문서 권한 요청, DRM 문서 다운 로드, 이미지 캡쳐, 메일에 파일 첨부 및 메일에 기밀 정보 중 적어도 하나를 포함하는, 연관 관계 분석 규칙 생성 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 지지도를 계산하는 단계는,
    상기 추출된 연관 관계 분석 항목을 이용하여 1개의 항목으로 이루어지는 1-항목 집합을 구성하고,
    상기 1-항목 집합을 구성하는 각각의 항목 집합에 대해 지지도를 계산하는 단계인, 연관 관계 분석 규칙 생성 방법.
  4. 제1항에 있어서,
    상기 지지도와 신뢰도를 계산하는 단계는,
    상기 계산된 지지도가 기설정된 임계값 이상인 항목 집합을 바탕으로 항목 개수를 늘려 n개의 항목으로 이루어지는 n-항목 집합을 구성하고,
    n-항목 집합을 구성하는 각각의 항목 집합에 대해 지지도와 신뢰도를 계산하고,
    상기 계산된 지지도와 신뢰도를 기설정된 임계값과 비교하여, 계산된 지지도와 신뢰도가 기설정된 임계값 이상인 항목 집합을 바탕으로 다음 단계의 항목 집합을 구성하여 지지도와 신뢰도를 계산하는 과정을 반복하는 단계인, 연관 관계 분석 규칙 생성 방법.
  5. 제4항에 있어서,
    상기 지지도와 신뢰도를 계산하는 과정을 반복하는 단계는,
    계산할 다음 단계의 항목 집합이 존재하지 않을 때까지 반복되는, 연관 관계 분석 규칙 생성 방법.
  6. 제1항에 있어서,
    상기 지지도는,
    각각의 항목 집합이 전체 보안 로그 집합에서 차지하는 비율이고,
    상기 신뢰도는,
    항목1이 기록된 내부 정보 유출 사고 중에서 항목1과 항목2가 모두 기록된 내부 정보 유출 사고가 차지하는 비율인, 연관 관계 분석 규칙 생성 방법.
  7. 제1항에 있어서,
    상기 내부 정보 유출과 관련된 보안 로그는,
    상기 내부 정보 유출 사고 직원의 보안 로그에서 처음으로 이상이 감지된 시점부터 내부 정보가 유출된 시점까지의 보안 로그인, 연관 관계 분석 규칙 생성 방법.
  8. 제1항, 제3항 내지 제7항 중 어느 하나의 항에 따른 연관 관계 분석 규칙 생성 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록 매체.
  9. 내부 직원별로 보안 로그를 수집하는 단계; 및
    내부 정보 유출 사고 시에 일정 빈도 이상 나타나는 보안 로그 목록으로 이루어진 보안 로그 분석 규칙과, 내부 정보 유출 사고 시에 나타나는 보안 로그 간의 연관 관계를 분석하여 서로 연관성을 보이는 보안 로그 그룹 목록으로 이루어진 연관 관계 분석 규칙을 기반으로 상기 내부 직원별로 수집된 보안 로그를 분석하여 내부 정보 유출 여부를 탐지하는 단계;를 포함하고,
    상기 내부 정보 유출 사고 시에 나타나는 보안 로그는,
    상기 내부 직원으로부터 발생한 보안 로그로써 DRM(Data Rights Managements), DLP(Data Loss Prevention), 메일 관리 시스템, DRM 문서 권한 요청, DRM 문서 다운 로드, 이미지 캡쳐, 메일에 파일 첨부 및 메일에 기밀 정보 중 적어도 하나를 포함하는, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법.
  10. 제9항에 있어서,
    상기 보안 로그 분석 규칙은,
    내부 직원의 업무 활동을 감시하는 보안 솔루션별로 정의되는, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법.
  11. 내부 직원별로 수집된 보안 로그를 저장하는 보안 로그 수집 DB;
    내부 정보 유출 사고 시에 나타나는 보안 로그 목록으로 이루어진 보안 로그 분석 규칙을 저장하는 보안 로그 분석 규칙 DB;
    내부 정보 유출 사고 시에 나타나는 보안 로그 간의 연관 관계를 분석하여 서로 연관성을 보이는 보안 로그 그룹 목록으로 이루어진 연관 관계 분석 규칙을 저장하는 연관 관계 분석 규칙 DB; 및
    상기 보안 로그 분석 규칙과 상기 연관 관계 분석 규칙을 기반으로 상기 내부 직원별로 수집된 보안 로그를 분석하여 내부 정보 유출 여부를 탐지하는 내부 정보 유출 탐지부;를 포함하고,
    상기 보안 로그 분석 규칙은,
    내부 정보 유출 사고 시에 일정 빈도 이상 나타나는 보안 로그 목록으로 이루어지고,
    상기 내부 정보 유출 사고 시에 나타나는 보안 로그는,
    상기 내부 직원으로부터 발생한 보안 로그로써 DRM(Data Rights Managements), DLP(Data Loss Prevention), 메일 관리 시스템, DRM 문서 권한 요청, DRM 문서 다운 로드, 이미지 캡쳐, 메일에 파일 첨부 및 메일에 기밀 정보 중 적어도 하나를 포함하는, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 장치.
KR1020170093563A 2017-07-24 2017-07-24 연관 관계 분석 규칙 생성 방법, 이를 수행하기 위한 기록 매체, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법 및 장치 KR101914874B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170093563A KR101914874B1 (ko) 2017-07-24 2017-07-24 연관 관계 분석 규칙 생성 방법, 이를 수행하기 위한 기록 매체, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170093563A KR101914874B1 (ko) 2017-07-24 2017-07-24 연관 관계 분석 규칙 생성 방법, 이를 수행하기 위한 기록 매체, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법 및 장치

Publications (1)

Publication Number Publication Date
KR101914874B1 true KR101914874B1 (ko) 2018-11-02

Family

ID=64328459

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170093563A KR101914874B1 (ko) 2017-07-24 2017-07-24 연관 관계 분석 규칙 생성 방법, 이를 수행하기 위한 기록 매체, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101914874B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111563647A (zh) * 2020-03-26 2020-08-21 国网福建省电力有限公司信息通信分公司 基于关联规则和dea的电力信息系统检测方法及系统
CN114116422A (zh) * 2021-11-19 2022-03-01 苏州浪潮智能科技有限公司 一种硬盘日志分析方法、硬盘日志分析装置及存储介质
CN115883219A (zh) * 2022-12-02 2023-03-31 上海花宸月希信息科技有限公司 基于日志的大数据智能关联分析方法及系统
CN117114116A (zh) * 2023-08-04 2023-11-24 北京杰成合力科技有限公司 一种基于机器学习的根因分析方法、介质和设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
신대철, 김홍윤, "비정상행위 탐지 알고리즘 구현 및 성능 최적화 방안", 한국산학기술학회논문지 Vol. 11, No. 11, pp. 4553-4562(2010.)*
한국전자통신연구원, "데이터 마이닝 기법을 적용한 경보데이터의 패턴분석과 능동적 정책 모델 구축"(2002.)*

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111563647A (zh) * 2020-03-26 2020-08-21 国网福建省电力有限公司信息通信分公司 基于关联规则和dea的电力信息系统检测方法及系统
CN114116422A (zh) * 2021-11-19 2022-03-01 苏州浪潮智能科技有限公司 一种硬盘日志分析方法、硬盘日志分析装置及存储介质
CN114116422B (zh) * 2021-11-19 2024-05-24 苏州浪潮智能科技有限公司 一种硬盘日志分析方法、硬盘日志分析装置及存储介质
CN115883219A (zh) * 2022-12-02 2023-03-31 上海花宸月希信息科技有限公司 基于日志的大数据智能关联分析方法及系统
CN117114116A (zh) * 2023-08-04 2023-11-24 北京杰成合力科技有限公司 一种基于机器学习的根因分析方法、介质和设备

Similar Documents

Publication Publication Date Title
KR101914874B1 (ko) 연관 관계 분석 규칙 생성 방법, 이를 수행하기 위한 기록 매체, 연관 관계 분석 규칙을 이용한 내부 정보 유출 탐지 방법 및 장치
CN107577939B (zh) 一种基于关键字技术的数据防泄漏方法
US10341372B2 (en) Clustering for detection of anomalous behavior and insider threat
CN109325326A (zh) 非结构化数据访问时的数据脱敏方法、装置、设备及介质
US20140165195A1 (en) Method and system for thwarting insider attacks through informational network analysis
CN107113183A (zh) 大数据的受控共享的系统和方法
CN114144798A (zh) 安全事故调查事件捕获
CN116842531B (zh) 基于代码疫苗的漏洞实时验证方法、装置、设备及介质
US7690036B2 (en) Special group logon tracking
US8892896B2 (en) Capability and behavior signatures
EP3794481A1 (en) Creation and verification of behavioral baselines for the detection of cybersecurity anomalies using machine learning techniques
US11888986B2 (en) Insight generation using personal identifiable information (PII) footprint modeling
KR101946691B1 (ko) 정보 유출 탐지 장치 및 방법, 이를 수행하기 위한 기록 매체
US20220335155A1 (en) Insight Generation Using Personal Identifiable Information (PII) Footprint Modeling
Klíma PETA: Methodology of information systems security penetration testing
CN107920067A (zh) 一种主动对象存储系统上的入侵检测方法
CN113542238B (zh) 一种基于零信任的风险判定方法及系统
Savenkov et al. Organizations Data Integrity Providing through Employee Behavioral Analysis Algorithms
Handoko et al. The utilization of blockchain technology on remote audit to ensure audit data integrity in detecting potential fraudulent financial reporting
Heid et al. Towards detecting device fingerprinting on iOS with API function hooking
Hayat et al. A goal based framework by adopting square process for privacy and security requirement engineering
CN109583233A (zh) 数据泄漏监测方法及装置
Melaragno et al. Detecting ransomware execution in a timely manner
Hu et al. Analyzing Malware Based on Volatile Memory.
CN117034305A (zh) 敏感信息识别方法、装置、计算机设备及可读存储介质

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant