KR102108960B1 - 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법 - Google Patents

기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법 Download PDF

Info

Publication number
KR102108960B1
KR102108960B1 KR1020190043355A KR20190043355A KR102108960B1 KR 102108960 B1 KR102108960 B1 KR 102108960B1 KR 1020190043355 A KR1020190043355 A KR 1020190043355A KR 20190043355 A KR20190043355 A KR 20190043355A KR 102108960 B1 KR102108960 B1 KR 102108960B1
Authority
KR
South Korea
Prior art keywords
variable
machine learning
security policy
module
policy
Prior art date
Application number
KR1020190043355A
Other languages
English (en)
Inventor
김세중
로메인 무레
조창섭
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020190043355A priority Critical patent/KR102108960B1/ko
Application granted granted Critical
Publication of KR102108960B1 publication Critical patent/KR102108960B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법에 관한 것으로, 더욱 상세하게는, 주관적이고 임의적으로 정해진 보안정책에 대하여 기계학습을 통해 침해 시도의 빈도에 따라 적합한 보안정책을 도출하도록 함으로써, 다변화하는 사이버 침해 시도에 효과적으로 대응할 수 있으면서도, 주기적으로 발생하는 침해 위협에 대해서 그 빈도에 따라 위협 여부 및 위험도를 통지하여 오탐률을 효과적으로 줄이고 보안관리 업무의 효율성을 증대시킬 수 있는 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법에 관한 것이다.

Description

기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법{Machine Learning Based Frequency Type Security Rule Generator and Its Method}
본 발명은 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법에 관한 것으로, 더욱 상세하게는, 주관적이고 임의적으로 정해진 보안정책에 대하여 기계학습을 통해 침해 시도의 빈도에 따라 적합한 보안정책을 도출하도록 함으로써, 다변화하는 사이버 침해 시도에 효과적으로 대응할 수 있으면서도, 주기적으로 발생하는 침해 위협에 대해서 그 빈도에 따라 위협 여부 및 위험도를 통지하여 오탐률을 효과적으로 줄이고 보안관리 업무의 효율성을 증대시킬 수 있는 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법에 관한 것이다.
정보자산 내의 정보의 중요성과 정보의 양이 커짐에 따라, 네트워크 상 보안의 중요성 역시 대두되었다. 정보자산의 보안을 위하여 통합보안관리시스템, 위협관리시스템, 방화벽 등의 보안장비 및 보안시스템이 사용되고 있다. 현재 지속적이고 가변성인 사이버 침해 시도 증가에 따라 많은 양의 보안이벤트가 발생하고 있으며 변화하는 공격에 대한 효율적인 대응이 필요한 상황이다.
한편, 디지털 장비를 사용하는 사용자가 급격히 증가하였고, 이에 따라 사용자들이 디지털 장비를 사용한 흔적인 로그와 데이터의 양 또한 기하급수적으로 증가하여 이른바 빅데이터(Big Data) 환경이 도래하였다. 다양한 사용자의 단말기, 즉 엔드포인트(EndPoint)나 네트워크 상의 보안시스템 등에서 발생하는 보안 침해에 관한 보안이벤트는 이벤트로그로 기록된다.
보안관리자는 생성 또는 리포트된 이벤트로그를 분석하여 침해의 피해 상황, 유형, 경로 등을 확인할 수 있으며, 상기 침해에 대한 대응 및/또는 예방조치를 취할 수 있게 된다. 그러나 빅데이터 환경에서는 데이터와 사용 로그의 양도 방대하며, 발전한 사이버 침해 시도로 인하여 보안이벤트의 양도 기하급수적으로 증가하였다. 이러한 상황에서 보안관리자가 모든 이벤트를 수동으로 분석하여 실제 공격 여부를 판단하는 것은 불가능에 가깝고, 오탐 및 미탐의 문제가 발생하기 쉬웠다.
이에 따라 방대한 양의 보안이벤트를 효과적으로 관리하기 위하여 보안이벤트를 실시간으로 수집하고 분석하는 연구가 진행되었다. 하지만, 기존 연구는 정해진 보안정책에 따라 보안이벤트를 발생시켜 다변화하는 침해에 대응하기 어렵다는 단점이 있었고, 탐지규칙에 따라 가변성의 침해시도를 필터링하는 보안정책을 생성하는 연구 또한 급변하는 네트워크 상의 환경에 대해서는 많은 오탐을 발생시켰다.
기존 보안장비 및 보안시스템에서는 보안 정책을 설정하려면 보안담당자에 의해 환경 분석이 선행되어야 했다. 환경 분석 이후에 보안정책을 정의하고, 각 정책 별 최적의 정책 필터값을 적용시켰다. 그러나 시간이 지날수록 네트워크 환경이 확장되거나 축소될 수 있고 서비스 종류 또한 변화할 수 있는바, 보안담당자가 보안정책을 상황에 맞게 지속적으로 추가하거나 삭제 또는 업데이트하는 것은 매우 어려운 상황이었다.
또한 초기의 보안정책 필터값은 보안담당자가 보유한 전문지식 및/또는 경험에 의존하고 있던 바, 많은 사이트와 도메인 주소(DNS)의 보안정책은 각각의 타겟의 독립성에도 불구하고 실질적으로 같거나 유사한 보안정책 및/또는 정책 필터값을 적용하고 있는 실정이다.
도 1은 한국등록특허공보 제10-1503701호에 개시된 종래의 빅데이터 기반 정보보호 방법 및 장치를 나타낸 도면이다. 도 1을 참고하면, 종래의 빅데이터 기반 정보보호 방법 및 장치는 복수 개의 단말기로부터 정보를 수신하고 분석하여 차단대상을 탐지하는 기능을 가진다. 그러나, 종래의 변화하는 네트워크 환경에 적응하기 어려우며, 사용자가 수동으로 임계치를 변경하는 것은 매우 복잡하고 번거로운 상황이다.
이에 관련업계에서는 다변화하는 사이버 침해 시도에 효과적으로 대응할 수 있으면서도, 변화하는 내부의 네트워크 환경에도 대응하여 오탐률을 효과적으로 줄이고 보안정책의 필터값을 최적화할 수 있는 시스템의 개발이 요구된다.
한국등록특허공보 제10-1503701호(2015.03.12)
본 발명은 상기와 같은 문제점을 해결하고자 안출된 것으로,
본 발명의 목적은, 정보자산으로부터의 로그를 수집하고 저장하며, 위협요소를 탐지하고 위험도를 판단하여 사용자에게 통지하는 관제부와 변수에 따라 데이터를 처리하고, 기계학습 알고리즘을 통해 보안정책을 생성하는 정책생성부를 포함하되, 상기 보안정책은 공격탐지 빈도를 기준으로 생성되도록 구성함으로써, 오탐률을 효과적으로 줄이고 보안관리 업무의 효율성을 증대시킬 수 있는 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 것이다.
본 발명의 다른 목적은, 상기 정책생성부는, 변수에 따라 수집된 로그를 전처리하는 전처리부와, 변환된 데이터를 기반으로 알고리즘을 사용하여 빈도형 보안정책을 생성하는 기계학습부를 포함하고, 상기 전처리부는 변수를 입력받거나 결정하여 추출하는 변수추출부와 상기 변수에 따라 데이터를 수집하고 변환하는 데이터처리부를 포함하도록 구성함으로써, 입력되거나 참조하여 추출한 변수에 따라 기계학습에 적합한 데이터를 가공하여 오탐률을 효과적으로 줄이고 보안관리 업무의 효율성을 증대시킬 수 있는 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 기계학습부는 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택하는 알고리즘선택모듈, 정책모델의 정확도를 위해 변수 및/또는 로그 데이터를 최적화하는 변수조정모듈, 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하는 학습모듈 및 상기 학습모듈에서 도출된 정책모델을 평가하여 보안정책을 생성하는 결과분석모듈을 포함하도록 구성함으로써, 빈도를 기준으로 하는 보안정책을 도출하여 위협의 발생 빈도를 룰 필터로 하는 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 알고리즘 선택모듈은, 보안정책의 탐지 기준이 되는 주기를 결정하는 알고리즘을 선택하는 주기선택모듈과 데이터를 분류하여 위협요소를 판단하는 알고리즘을 선택하는 클러스터링선택모듈을 포함하도록 구성함으로써 정책모델의 요소에 따라 알고리즘을 달리 사용하여 더욱 정확한 정책모델을 도출하는 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 학습모듈은, 보안정책의 탐지 기준이 되는 주기를 학습하는 주기추출모듈과 위협요소 여부 및/또는 위협요소 타겟 분류를 학습하는 타겟추출모듈을 포함도록 구성함으로써, 정책모델의 요소에 따라 기계학습을 하여 정확도를 더욱 향상시킨 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 결과분석모듈은, 상기 학습모듈로부터 생성된 정책모델을 평가하는 평가모듈과 정책모델을 평가한 결과를 기준에 따라 재학습 요청하거나 승인하는 결정모듈을 포함하도록 구성함으로써 기계학습의 결과로 도출된 정책모델의 정확도가 낮은 경우 재학습시켜 정확도를 향상시키는 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 변수추출부는, 변수를 입력받는 변수수신모듈과 메타데이터DB에서 변수를 참조하여 결정하는 변수결정모듈을 포함하며, 상기 변수는 정보자산, 위협요소 종류 또는 가중치 중 적어도 하나 이상을 포함하도록 구성함으로써 입력되거나 참조하는 변수에 따라 정책모델을 도출하여 유연한 보안정책의 설계가 가능한 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 데이터처리부는, 추출된 변수에 따라 관제부에서 수집한 로그의 적어도 일부를 수집하는 데이터수집모듈을 포함하도록 구성함으로써 입력하거나 참조하여 추출한 변수에 따라 데이터를 수집하여 연산효율을 높인 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 관제부는, 정보자산으로부터 전달되는 로그를 수집하는 로그수집부와 생성된 보안정책을 제공받아 기록하고, 수집된 로그와 비교판단하여 위협요소를 탐지하고 위험도를 판단하여 사용자에게 통지하는 탐지부를 포함하도록 구성하여 정보 수집과 위협 탐지를 효과적으로 수행하는 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 변수를 추출하고 분석대상 로그 데이터를 변수에 따라 변환하는 전처리단계, 알고리즘을 사용하여 빈도형 보안정책을 추출하는 기계학습단계, 추출된 상기 빈도형 보안정책을 기반으로 위협요소를 탐지하는 탐지단계를 포함하 기계학습 기반 빈도형 보안정책 생성방법을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 기계학습단계는, 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택하는 알고리즘선택단계, 정책모델의 정확도를 위해 변수 및/또는 로그 데이터를 최적화하는 변수조정단계, 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하는 학습단계 및 상기 학습모듈에서 도출된 정책모델을 평가하여 보안정책을 생성하는 결과분석단계를 포함도록 구성함으로써 빈도를 기준으로 하는 보안정책을 도출하여 위협의 발생 빈도를 룰 필터로 하는 기계학습 기반 빈도형 보안정책 생성방법을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 알고리즘선택단계는, 보안정책의 탐지 기준이 되는 주기를 결정하는 알고리즘을 선택하는 주기선택단계와 데이터를 분류하여 위협요소를 판단하는 알고리즘을 선택하는 클러스터링선택단계를 포함하도록 구성하여 정책모델의 요소에 따라 알고리즘을 달리 사용하여 더욱 정확한 정책모델을 도출하는 기계학습 기반 빈도형 보안정책 생성방법을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 학습단계는, 보안정책의 탐지 기준이 되는 주기를 학습하는 주기추출단계와 위협요소 여부 및/또는 요협요소 타겟 분류를 학습하는 타겟추출단계를 포함하도록 구성하여 정책모델의 요소에 따라 기계학습을 하여 정확도를 더욱 향상시킨 기계학습 기반 빈도형 보안정책 생성방법을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 결과분석단계는, 상기 학습단계로부터 생성된 정책모델을 평가하는 평가단계와 정책모델을 평가한 결과를 기준에 따라 재학습 요청하거나 승인하는 결정단계를 포함하도록 구성하여 기계학습의 결과로 도출된 정책모델의 정확도가 낮은 경우 재학습시켜 정확도를 향상시키는 기계학습 기반 빈도형 보안정책 생성방법을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 전처리단계는, 변수를 입력받거나 결정하여 추출하는 변수추출단계와 추출된 변수에 따라 관제부에서 수집한 로그의 적어도 일부를 수집하는 데이터수집단계를 포함하도록 구성하여 입력되거나 참조하는 변수에 따라 정책모델을 도출하여 유연한 보안정책의 설계가 가능한 기계학습 기반 빈도형 보안정책 생성방법을 제공하는 것이다.
본 발명의 또 다른 목적은, 변수추출단계는, 변수를 입력받은 경우 입력모듈에서 변수를 수신하는 변수수신단계 또는 변수를 입력받지 않은 경우 변수를 참조하여 변수를 결정하는 변수참조단계를 포함하도록 구성하여 변수를 자동으로 지정하여 보안정책의 설계가 가능한 기계학습 기반 빈도형 보안정책 생성방법을 제공하는 것이다.
본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.
본 발명의 일 실시예에 따르면, 본 발명은, 정보자산으로부터의 로그를 수집하고 저장하며, 위협요소를 탐지하고 위험도를 판단하여 사용자에게 통지하는 관제부와 변수에 따라 데이터를 처리하고, 기계학습 알고리즘을 통해 보안정책을 생성하는 정책생성부를 포함하되, 상기 보안정책은 공격탐지 빈도를 기준으로 생성되는 것을 특징으로 한다.
본 발명의 다른 실시예에 따르면, 본 발명은, 상기 정책생성부는, 변수에 따라 수집된 로그를 전처리하는 전처리부와, 변환된 데이터를 기반으로 알고리즘을 사용하여 빈도형 보안정책을 생성하는 기계학습부를 포함하고, 상기 전처리부는 변수를 입력받거나 결정하여 추출하는 변수추출부와 상기 변수에 따라 데이터를 수집하고 변환하는 데이터처리부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 기계학습부는 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택하는 알고리즘선택모듈, 정책모델의 정확도를 위해 변수 및/또는 로그 데이터를 최적화하는 변수조정모듈, 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하는 학습모듈 및 상기 학습모듈에서 도출된 정책모델을 평가하여 보안정책을 생성하는 결과분석모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 알고리즘 선택모듈은, 보안정책의 탐지 기준이 되는 주기를 결정하는 알고리즘을 선택하는 주기선택모듈과 데이터를 분류하여 위협요소를 판단하는 알고리즘을 선택하는 클러스터링선택모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 학습모듈은, 보안정책의 탐지 기준이 되는 주기를 학습하는 주기추출모듈과 위협요소 여부 및/또는 위협요소 타겟 분류를 학습하는 타겟추출모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 결과분석모듈은, 상기 학습모듈로부터 생성된 정책모델을 평가하는 평가모듈과 정책모델을 평가한 결과를 기준에 따라 재학습 요청하거나 승인하는 결정모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 변수추출부는, 변수를 입력받는 변수수신모듈과 메타데이터DB에서 변수를 참조하여 결정하는 변수결정모듈을 포함하며, 상기 변수는 정보자산, 위협요소 종류 또는 가중치 중 적어도 하나 이상을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 데이터처리부는, 추출된 변수에 따라 관제부에서 수집한 로그의 적어도 일부를 수집하는 데이터수집모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 관제부는, 정보자산으로부터 전달되는 로그를 수집하는 로그수집부와 생성된 보안정책을 제공받아 기록하고, 수집된 로그와 비교판단하여 위협요소를 탐지하고 위험도를 판단하여 사용자에게 통지하는 탐지부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 변수를 추출하고 분석대상 로그 데이터를 변수에 따라 변환하는 전처리단계, 알고리즘을 사용하여 빈도형 보안정책을 추출하는 기계학습단계, 추출된 상기 빈도형 보안정책을 기반으로 위협요소를 탐지하는 탐지단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 기계학습단계는, 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택하는 알고리즘선택단계, 정책모델의 정확도를 위해 변수 및/또는 로그 데이터를 최적화하는 변수조정단계, 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하는 학습단계 및 상기 학습모듈에서 도출된 정책모델을 평가하여 보안정책을 생성하는 결과분석단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 알고리즘선택단계는, 보안정책의 탐지 기준이 되는 주기를 결정하는 알고리즘을 선택하는 주기선택단계와 데이터를 분류하여 위협요소를 판단하는 알고리즘을 선택하는 클러스터링선택단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 학습단계는, 보안정책의 탐지 기준이 되는 주기를 학습하는 주기추출단계와 위협요소 여부 및/또는 요협요소 타겟 분류를 학습하는 타겟추출단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 결과분석단계는, 상기 학습단계로부터 생성된 정책모델을 평가하는 평가단계와 정책모델을 평가한 결과를 기준에 따라 재학습 요청하거나 승인하는 결정단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 전처리단계는, 변수를 입력받거나 결정하여 추출하는 변수추출단계와 추출된 변수에 따라 관제부에서 수집한 로그의 적어도 일부를 수집하는 데이터수집단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 변수추출단계는, 변수를 입력받은 경우 입력모듈에서 변수를 수신하는 변수수신단계 또는 변수를 입력받지 않은 경우 변수를 참조하여 변수를 결정하는 변수참조단계를 포함하는 것을 특징으로 한다.
본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.
본 발명은, 정보자산으로부터의 로그를 수집하고 저장하며, 위협요소를 탐지하고 위험도를 판단하여 사용자에게 통지하는 관제부와 변수에 따라 데이터를 처리하고, 기계학습 알고리즘을 통해 보안정책을 생성하는 정책생성부를 포함하되, 상기 보안정책은 공격탐지 빈도를 기준으로 생성되도록 구성함으로써, 오탐률을 효과적으로 줄이고 보안관리 업무의 효율성을 증대시킬 수 있는 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 효과가 있다.
본 발명은, 상기 정책생성부는, 변수에 따라 수집된 로그를 전처리하는 전처리부와, 변환된 데이터를 기반으로 알고리즘을 사용하여 빈도형 보안정책을 생성하는 기계학습부를 포함하고, 상기 전처리부는 변수를 입력받거나 결정하여 추출하는 변수추출부와 상기 변수에 따라 데이터를 수집하고 변환하는 데이터처리부를 포함하도록 구성함으로써, 입력되거나 참조하여 추출한 변수에 따라 기계학습에 적합한 데이터를 가공하여 오탐률을 효과적으로 줄이고 보안관리 업무의 효율성을 증대시키는 효과를 도출한다.
본 발명은, 상기 기계학습부는 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택하는 알고리즘선택모듈, 정책모델의 정확도를 위해 변수 및/또는 로그 데이터를 최적화하는 변수조정모듈, 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하는 학습모듈 및 상기 학습모듈에서 도출된 정책모델을 평가하여 보안정책을 생성하는 결과분석모듈을 포함하도록 구성함으로써, 빈도를 기준으로 하는 보안정책을 도출하여 위협의 발생 빈도를 룰 필터로 하는 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 효과를 수반한다.
본 발명은, 상기 알고리즘 선택모듈은, 보안정책의 탐지 기준이 되는 주기를 결정하는 알고리즘을 선택하는 주기선택모듈과 데이터를 분류하여 위협요소를 판단하는 알고리즘을 선택하는 클러스터링선택모듈을 포함하도록 구성함으로써 정책모델의 요소에 따라 알고리즘을 달리 사용하여 더욱 정확한 정책모델을 도출하는 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 효과가 있다.
본 발명은, 상기 학습모듈은, 보안정책의 탐지 기준이 되는 주기를 학습하는 주기추출모듈과 위협요소 여부 및/또는 위협요소 타겟 분류를 학습하는 타겟추출모듈을 포함도록 구성함으로써, 정책모델의 요소에 따라 기계학습을 하여 정확도를 더욱 향상시킨 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 효과를 가진다.
본 발명은, 결과분석모듈은, 상기 학습모듈로부터 생성된 정책모델을 평가하는 평가모듈과 정책모델을 평가한 결과를 기준에 따라 재학습 요청하거나 승인하는 결정모듈을 포함하도록 구성함으로써 기계학습의 결과로 도출된 정책모델의 정확도가 낮은 경우 재학습시켜 정확도를 향상시키는 기계학습 기반 빈도형 보안정책 생성시스템을 제공한다.
본 발명은, 상기 변수추출부는, 변수를 입력받는 변수수신모듈과 메타데이터DB에서 변수를 참조하여 결정하는 변수결정모듈을 포함하며, 상기 변수는 정보자산, 위협요소 종류 또는 가중치 중 적어도 하나 이상을 포함하도록 구성함으로써 입력되거나 참조하는 변수에 따라 정책모델을 도출하여 유연한 보안정책의 설계가 가능한 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 효과를 준다.
본 발명은, 상기 데이터처리부는, 추출된 변수에 따라 관제부에서 수집한 로그의 적어도 일부를 수집하는 데이터수집모듈을 포함하도록 구성함으로써 입력하거나 참조하여 추출한 변수에 따라 데이터를 수집하여 연산효율을 높인 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 효과를 수반한다.
본 발명은, 상기 관제부는, 정보자산으로부터 전달되는 로그를 수집하는 로그수집부와 생성된 보안정책을 제공받아 기록하고, 수집된 로그와 비교판단하여 위협요소를 탐지하고 위험도를 판단하여 사용자에게 통지하는 탐지부를 포함하도록 구성하여 정보 수집과 위협 탐지를 효과적으로 수행하는 기계학습 기반 빈도형 보안정책 생성시스템을 제공하는 효과가 존재한다.
본 발명은, 변수를 추출하고 분석대상 로그 데이터를 변수에 따라 변환하는 전처리단계, 알고리즘을 사용하여 빈도형 보안정책을 추출하는 기계학습단계, 추출된 상기 빈도형 보안정책을 기반으로 위협요소를 탐지하는 탐지단계를 포함하 기계학습 기반 빈도형 보안정책 생성방법을 제공하는 효과가 있다.
본 발명은, 상기 기계학습단계는, 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택하는 알고리즘선택단계, 정책모델의 정확도를 위해 변수 및/또는 로그 데이터를 최적화하는 변수조정단계, 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하는 학습단계 및 상기 학습모듈에서 도출된 정책모델을 평가하여 보안정책을 생성하는 결과분석단계를 포함도록 구성함으로써 빈도를 기준으로 하는 보안정책을 도출하여 위협의 발생 빈도를 룰 필터로 하는 기계학습 기반 빈도형 보안정책 생성방법을 제공할 수 있다.
본 발명은, 상기 알고리즘선택단계는, 보안정책의 탐지 기준이 되는 주기를 결정하는 알고리즘을 선택하는 주기선택단계와 데이터를 분류하여 위협요소를 판단하는 알고리즘을 선택하는 클러스터링선택단계를 포함하도록 구성하여 정책모델의 요소에 따라 알고리즘을 달리 사용하여 더욱 정확한 정책모델을 도출하는 기계학습 기반 빈도형 보안정책 생성방법을 제공한다.
본 발명은, 상기 학습단계는, 보안정책의 탐지 기준이 되는 주기를 학습하는 주기추출단계와 위협요소 여부 및/또는 요협요소 타겟 분류를 학습하는 타겟추출단계를 포함하도록 구성하여 정책모델의 요소에 따라 기계학습을 하여 정확도를 더욱 향상시킨 기계학습 기반 빈도형 보안정책 생성방법을 제공하는 효과를 가진다.
본 발명은, 상기 결과분석단계는, 상기 학습단계로부터 생성된 정책모델을 평가하는 평가단계와 정책모델을 평가한 결과를 기준에 따라 재학습 요청하거나 승인하는 결정단계를 포함하도록 구성하여 기계학습의 결과로 도출된 정책모델의 정확도가 낮은 경우 재학습시켜 정확도를 향상시키는 효과를 도출한다.
본 발명은, 변수를 입력받거나 결정하여 추출하는 변수추출단계와 추출된 변수에 따라 관제부에서 수집한 로그의 적어도 일부를 수집하는 데이터수집단계를 포함하도록 구성하여 입력되거나 참조하는 변수에 따라 정책모델을 도출하여 유연한 보안정책의 설계가 가능한 기계학습 기반 빈도형 보안정책 생성방법을 제공하는 효과를 도출한다.
본 발명은, 변수추출단계는, 변수를 입력받은 경우 입력모듈에서 변수를 수신하는 변수수신단계 또는 변수를 입력받지 않은 경우 변수를 참조하여 변수를 결정하는 변수참조단계를 포함하도록 구성하여 변수를 자동으로 지정하여 보안정책의 설계가 가능한 기계학습 기반 빈도형 보안정책 생성방법을 제공하는 효과를 수반한다.
도 1은 종래의 빅데이터 기반 정보보호 시스템을 도시한 도면.
도 2는 본 발명의 일 실시예에 따른 기계학습 기반 빈도형 보안정책 생성시스템의 블록도.
도 3은 도 2의 전처리부를 도시한 블록도.
도 4는 도 2의 기계학습부를 도시한 블록도.
도 5는 평활화된 데이터세트의 예시를 나타낸 도면.
도 6은 도 2의 탐지부를 도시한 블록도.
도 7은 본 발명의 일 실시예에 따른 기계학습 기반 빈도형 보안정책 생성방법을 도시한 흐름도.
도 8은 도 7의 전처리단계를 도시한 흐름도.
도 9는 도 7의 기계학습단계를 도시한 흐름도.
도 10은 도 7의 탐지단계를 도시한 흐름도.
이하에서는 본 발명에 따른 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법의 바람직한 실시 예들을 첨부된 도면을 참조하여 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 공지의 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하도록 한다. 특별한 정의가 없는 한 본 명세서의 모든 용어는 본 발명이 속하는 기술분야의 통상의 지식을 가진 기술자가 이해하는 당해 용어의 일반적 의미와 동일하고 만약 본 명세서에서 사용된 용어의 의미와 충돌하는 경우에는 본 명세서에서 사용된 정의에 따른다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니고, 다른 구성요소 또한 더 포함할 수 있는 것을 의미하며, 명세서에 기재된 "~부","~모듈" 등의 용어는 적어도 하나 이상의 기능이나 동작을 처리하는 단위를 의미하고, 이는 하드웨어나 소프트웨어 또는 하드웨어와 소프트웨어의 결합으로 구현될 수 있다. 이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써 본 발명을 상세히 설명한다.
도 2는 본 발명의 일 실시예에 따른 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법이다. 도 2를 참조하면, 기계학습 기반 빈도형 보안정책 생성시스템(1)은 다변화하는 사이버 침해 시도에 효과적으로 대응할 수 있으면서도, 주기적으로 발생하는 침해 위협에 대해서 그 빈도에 따라 위협 여부 및 위험도를 통지함으로써 오탐률을 효과적으로 줄이고 보안관리 업무의 효율성을 증대시킬 수 있는 것으로, 정책생성부(10), 관제부(30), 저장부(50) 및 입출력부(70)를 포함할 수 있다.
상기 정책생성부(10)는 변수에 따라 로그 데이터를 처리하고 기계학습 알고리즙을 통해 보안정책을 생성하되, 상기 생성되는 보안정책은 공격탐지 빈도를 그 기준으로 하는 것을 특징으로 한다. 보안정책이 그 필터값을 빈도를 기준으로 한다는 것은 발생하는 위협 또는 특정 공격패턴에 대하여 주기에 해당하는 단위시간동안 특정 보안장비 또는 전체 보안 시스템에서 얼마나 공격 또는 침해 시도가 발생하는가를 보안정책의 룰 필터로 삼는다는 것을 뜻한다. 예를 들면, 9.2분에 해당하는 주기 동안 침입탐지시스템(IDS)에서 공격탐지 한 횟수가 7 이상이라면 이를 사용자에게 통지한다는 보안정책을 생성할 수 있다. 상기 정책생성부(10)는 전처리부(11)와 기계학습부(13)를 포함할 수 있다.
도 3은 본 발명의 일 실시예에 따른 기계학습 기반 빈도형 보안정책 생성시스템의 전처리부(11)의 구성을 도시한 블록도이다. 이하 도 3을 참고하여 설명하면, 상기 전처리부(11)는 후술하는 관제부(30)에서 수집한 로그에 대하여, 입력받거나 참조하여 결정한 변수를 기반으로 하여 변수에 맞는 로그를 받아들이고, 받아들인 로그를 정규화하거나 기계학습에 맞도록 최적화하여 데이터화한다. 정보자산으로부터 전달되는 로그는 그 양이 방대하고, 기계학습에 사용하기 부적절한 정보가 많이 포함되어있으며, 나아가 로그 필드에 빈 값이나 중복되는 값이 존재하는 등 보완이 필요하거나 불필요한 경우가 존재한다. 예를 들면, 정보자산으로부터 전달된 로그는 출발지 IP정보(source IP), 목적지 IP(destination IP) 정보, 출발지 포트(source port) 정보, 목적지 포트(destination port) 정보, 호스트(host) 정보, 페이로드(payload) 정보, HTTP 레퍼러(hypertext transfer protocol referer) 정보 및 보안이벤트의 개수 정보 중 적어도 하나를 포함할 수 있다. 이 중에서는 기계학습에 필요한 필드가 채워진 정보가 있을 수 있으며, 더미 로그 혹은 기계학습과 관련이 없는 정보가 있을 수 있다. 따라서 상기 전처리부(11)에서는 후술하는 변수에 따라 로그를 수집하고 정규화하거나 최적화하여 기계학습에 사용하는 데이터로 변환할 수 있다.상기 전처리부(11)는 변수추출부(111)와 데이터처리부(113)를 포함할 수 있다.
상기 변수추출부(111)는 변수를 입력받거나 또는 변수를 메타데이터DB에서 참조하여 결정할 수 있다. 상기 변수는 여러 값 또는 필드명(field name)이 될 수 있으나, 바람직하게는 장비, 위협유형에 해당하는 필드명 또는 가중치 중 적어도 하나 이상을 포함할 수 있다. 여기서 장비란 각 정보자산 또는 보안시스템을 지칭할 수 있으며, 위협유형이란 DDoS, APT 또는 버퍼 오버플로우 등 여러 해킹방법이 될 수 있고, 이를 포함하는 사이버 침해 시도 자체를 지칭할 수 있다. 또한, 가중치는 정보자산의 중요도 또는 위협요소의 유형에 따른 취약도 등을 기준으로 하여 정해질 수 있다. 상기 변수추출부(111)는 이러한 정보에 해당하는 필드명 또는 값, 예를 들면 IP주소나 포트 번호, 가중치를 변수로 결정하게 된다. 상기 변수추출부(111)는 변수수신모듈(1111)을 포함할 수 있으며, 변수참조모듈(1113)을 더 포함할 수 있다.
상기 변수수신모듈(1111)은 후술하는 입출력부(70)에서 입력되는 변수를 수신할 수 있다. 입력되는 상술한 변수를 수신하여 로그 전처리에 이용하는 변수로 삼을 수 있다.
상기 변수참조모듈(1113)은 변수가 입력되지 않거나, 입력된 변수 값 중 필요한 정보가 누락되는 경우 메타데이터DB에서 해당하는 변수를 참조할 수 있다. 예를 들어, 본 발명의 한 실시예에서는 사용자가 변수 중 가중치를 입력하지 않을 수 있는데, 이 경우 변수참조모듈(1113)은 메타데이터DB에 저장된 정보자산 또는 위협유형에 대한 가중치를 참조하여 변수로 결정할 수 있다. 본 발명의 다른 실시예에서는 가중치를 변수로 삼지 않을 수도 있으며, 위협유형에 대한 변수가 입력되지 않을 시 가장 취약성 또는 위험도가 큰 위협유형에 해당하는 것을 변수로 삼거나, 발생하는 모든 침해시도를 그 변수로 삼을 수도 있다.
상기 데이터처리부(113)는 상기 변수추출부(111)에서 추출한 변수를 기반으로 하여 후술하는 관제부(30)에서 수집한 로그의 적어도 일부를 데이터로써 수집하고 이를 정규화시키거나 최적화하여 변환한다. 상기 데이터처리부(113)는 데이터수집모듈(1131)과 데이터변환모듈(1133)을 포함할 수 있다.
상기 데이터수집모듈(1131)은 추출된 변수에 따라 상기 관제부(30)에서 수집한 로그의 적어도 일부를 수집할 수 있다. 상기 데이터수집모듈(1131)은 추출된 변수에 적합한 로그를 수집할 수 있다. 예를 들면, 공격자로 설정된 IP주소가 변수인 경우에는 해당 IP주소가 존재하는 로그를 수집할 수 있고, 침해 시도에 해당하는 위협유형이 변수인 경우 공격명령이 포함된 쉘 코드(shell code)를 검색하여 해당하는 경우 상기 쉘 코드가 포함된 로그를 수집할 수 있다. 나아가 상기 변수가 복수 개 존재하는 경우, 변수에 적합한 로그를 모두 수집할 수도 있다.
상기 데이터변환모듈(1133)은 상기 데이터수집모듈(1131)에서 수집한 로그를 정규 형식으로 변환하고 데이터 정제를 실시한다. 일예로, 정규화된 로그는 Time, Type, SentIP, DestIP, Payload 등을 비롯한 필드를 포함하는 데이터로 구성될 수 있다. 이때, Time은 이벤트의 탐지시각, Type은 이벤트의 유형, SentIP는 출발지 IP, DestIP는 이벤트의 목적지 IP, Payload는 로그에 담긴 공격의 정보가 될 수 있다. 상기 로그 및 정규화된 로그가 포함하고 있는 정보 및/또는 필드는 예시적인 사항이며, 보안관제에 필요한 다른 정보 및/또는 필드를 포함할 수 있는 것을 알 수 있다. 수집된 데이터는 상기 정보들 중 일부를 결여할 수 있으며, 중복하여 포함할 수도 있고, 필드의 값의 유형이 다를수도 있다. 이에 따라 상기 데이터변환모듈(1133)은 정규 형식으로 변환함과 동시에 결여된 값을 채우거나, 중복된 값을 지우는 등의 데이터 정제를 할 수도 있다. 본 발명의 일 실시예에서는 보안정책이 전술한 바와 같이 빈도를 그 기준으로 하는 바, 기본적으로 시간에 대한 필드명은 포함되도록 데이터를 변환할 수 있다.
도 4는 본 발명의 일 실시예에 따른 기계학습 기반 빈도형 보안정책 생성시스템의 기계학습부(13)를 도시한 블록도이다. 이하 도 4를 참고하여 설명하면, 상기 기계학습부(13)는 제공받은 전처리된 데이터로부터 기계학습 알고리즘을 사용하여 주기적 또는 실시간으로 빈도형 보안정책을 생성할 수 있다. 머신러닝이라고도 불리는 기계학습이란, 컴퓨터가 데이터를 통해 학습하고 사람처럼 어떤 대상 혹은 상황을 이해할 수 있게 하는 기술이다. 컴퓨터가 스스로 훈련하면서 패턴을 찾아내 분류하는 기술적 방식으로 컴퓨터가 데이터를 분석할 수 있게 하는 알고리즘이 핵심이다. 데이터를 활용하는 알고리즘을 정교하게 만들면 컴퓨터가 스스로 학습하여 학습결과인 모델을 제공한다. 본 발명의 일 실시예에서, 상기 기계학습부(13)는 학습결과로 보안정책의 요소가 되는 정책모델을 제공하며, 알고리즘선택모듈(131), 조정모듈(133), 학습모듈(135) 및 결과분석모듈(137)을 포함할 수 있다.
상기 알고리즘선택모듈(131)은 전처리된 데이터에 대하여 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택한다. 기계학습에 사용되는 알고리즘은 여러가지가 있을 수 있는 바, 전처리된 데이터에 대하여 어떠한 알고리즘을 사용하여 학습을 진행할 것인지 선택할 수 있으며, 알고리즘의 조합을 선택할 수도 있다. 상기 알고리즘을 선택하는 것은 전처리된 데이터의 형식에 따라 어떤 알고리즘이 학습에 적합한지 기록한 정보를 메타데이터DB 등에서 참조할 수도 있으며, 사용자가 알고리즘을 선택할 수도 있다. 상기 알고리즘선택모듈(131)에서 알고리즘을 선택하는 것은 전술한 것 외에도 공지된 또는 공지될 구성이 적용될 수 있다. 상기 알고리즘선택모듈(131)은 주기선택모듈(1311)과 클러스터링선택모듈(1313)을 포함할 수 있다.
상기 주기선택모듈(1311)은 후술하는 학습모듈(135)에서 정책모델의 주기를 결정할 때 사용할 알고리즘을 선택하는 모듈이다. 본 발명의 일 실시예에 따라 도출되는 보안정책은 위협의 발생 빈도를 탐지의 기준으로 삼을 수 있다. 위협의 발생 빈도는 어떠한 단위시간을 주기로 하여 위협이 얼마나 많이 발생하는지를 뜻하므로, 상기 주기선택모듈(1311)은 어떤 알고리즘을 사용하여 위협 발생의 패턴을 학습할 것인지 결정할 수 있다. 데이터의 불규칙한 변동은 시간에 따른 데이터세트에 내재되므로, 적합한 학습을 위해서는 알고리즘을 사용하여 평활화(Smoothing) 작업이 필요하다. 이러한 평활화로써 불규칙한 시계열적 데이터 변동이 규칙성을 띄게 되고, 데이터세트에 존재하는 주기를 찾을 수 있다. 예를 들면, Exponential Smoothing은 예측과정에서 최근 시점의 가중치를 높게 부여하여 평활화하는 알고리즘에 해당하고, Averaging Method는 데이터세트를 단위시계열에 대한 평균을 냄으로써 평활화한다. 바람직하게는, Triple Exponential Smoothing과 같은 시계열 알고리즘이 평활화의 수단으로 선택될 수 있다. 또한, 열거한 알고리즘에 국한되지 않고 평활화에 사용될 수 있는 공지된 혹은 공지될 단일의 알고리즘 또는 알고리즘의 조합이 선택될 수 있다.
상기 클러스터링선택모듈(1313)은 데이터가 위협요소에 해당하는지 여부 및/또는 기준 탐지횟수을 분류하기 위해 사용하는 알고리즘을 선택하는 모듈이다. k-평균, GMM, SVM 등의 알고리즘이 선택될 수 있으며, 상기 알고리즘들의 조합이 선택될 수도 있다. 또한, 열거한 알고리즘에 국한되지 않고 기계학습에 사용되는 공지된 혹은 공지될 단일의 알고리즘 또는 알고리즘의 조합이 선택될 수 있다.
상기 조정모듈(133)은 후술하는 학습모듈(135)에서 도출되는 정책모델의 정확도를 위하여 변수 및/또는 데이터를 최적화한다. 초기 도출되는 정책모델은 예측능력과 정확도가 충분히 높지 않을 수 있다. 따라서 더 나은 예측을 위해 정책모델을 개선해야 할 수 있으므로 개선을 위해 학습에 사용되는 변수 및/또는 데이터를 조정한다. 상기 변수나 데이터를 조정하는 방식으로는 변수 값의 교체 내지 추가 혹은 삭제가 있을 수 있다. 또한 학습모듈(135)에서 사용하는 학습 데이터의 값을 대체할 수도 있다.
상기 학습모듈(135)은 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하고 정책모델을 도출한다. 상기 학습모듈(135)은 정책모델의 목적인 위협의 발생 빈도를 도출해내야 하기 때문에 상기 목적에 따라 주기추출모듈(1351)과 타겟추출모듈(1353)을 포함할 수 있다.
상기 주기추출모듈(1351)은 상기 주기선택모듈(1311)에서 선택한 주기 결정 알고리즘을 이용하여 기계학습을 수행하여 주기가 포함된 정책모델을 도출한다. 도 5에서 볼 수 있는 바와 같이, 계절성을 띄도록 변환된 데이터세트는 일정한 주기를 가질 수 있으므로, 평활화를 거쳐 계절성(Seasonality)을 띄는 데이터세트를 학습한다면 상기 정책모델의 시계열적 기준인 주기를 도출할 수 있다. 예를 들면, 본 발명의 일 실시예에서는 침입탐지시스템(IDS)에서 3분 동안 위협을 탐지한 횟수에 대한 정책모델을 도출할 수 있다.
상기 타겟추출모듈(1353)은 데이터가 위협요소에 해당하는지 여부 및/또는 위협요소 종류를 분류하고 기준 횟수가 포함된 정책모델을 추출할 수 있다. 예를 들면, 본 발명의 일 실시예에서는 특정 IP에서의 트래픽이 급등하는 경우 이를 위협이라고 분류할 수 있고, 이러한 트래픽 급등이 해당 주기 내에 5번 이상 발생하는 경우 이를 탐지하도록 정책모델을 추출할 수 있다. 위협유형에 부여된 가중치를 합산하여 횟수를 결정할 수 있으며, 사용된 알고리즘에 대하여 가중치를 부여할 수도 있다. 본 발명의 타겟추출모듈(1353)이 추출하는 정책모델은 예시에 한정되지 않으며, 트래픽 외에도 공지된 또는 공지될 위협에 관하여 해당여부 및/또는 위협유형을 분류하고 기준 횟수가 포함된 정책모델을 추출할 수 있는 것이 인지된다.
상기 결과분석모듈(137)은 상기 학습모듈(135)에서 추출된 정책모델을 평가하여 재학습 요청하거나 승인하여 보안정책을 생성할 수 있다. 기계학습을 통해 추출된 정책모델은 과적합 등의 오류가 있을 수 있는 바, 정책모델을 평가하여 예측 정확도에 대해서 평가하고, 기준에 따라 재학습 요청하거나 승인할 수 있다. 상기 결과분석모듈(137)은 평가모듈(1371)과 결정모듈(1373)을 포함할 수 있다.
상기 평가모듈(1371)은 상기 학습모듈(135)로부터 생성된 정책모델을 평가하여 상기 정책모델이 새로운 데이터에 대해서 얼마나 일반화 가능한지 측정한다. 정확도, 손실 등을 포함한 척도로 생성된 정책모델이 얼마나 예측 정확도가 높은지에 대해서 평가할 수 있으며, 기계학습에 사용된 데이터셋에만 최적화된 것은 아닌지 등을 평가할 수 있다. 평가방법은 기계학습에 대한 공지된 또는 공지될 평가방법을 포함할 수 있다.
상기 결정모듈(1373)은 상기 평가모듈(1371)에서 상기 정책모델을 평가한 결과를 기반으로 하여 기준에 따라 재학습 요청하거나 또는 승인할 수 있다. 본 발명의 일 실시예에서는 상기 평가모듈(1371)에서 정책모델을 평가한 결과를 항목에 따라 가중치를 부여하여 점수화시키고, 상기 결정모듈(1373)에서는 평가 점수가 지정한 기준 점수에 도달하지 못하면 재학습 요청할 수 있으며, 지정한 기준 점수를 초과하면 상기 정책모델을 승인할 수 있다.
도 2로 돌아가면, 관제부(30)는 정보자산으로부터의 로그를 수집하고 저장하며, 위협요소를 탐지하고 위험도를 판단하여 사용자에게 통지한다. 따라서 상기 관제부(30)는 전체 시스템에서 보안관제의 기능을 가지며, 위험관리시스템(RMS), 위협관리시스템(TMS), 침입탐지시스템(IDS) 등이 해당할 수 있다. 본 발명의 바람직한 일 실시예에서는, 상기 관제부(30)는 SIEM(Security Information and Event Management)이 될 수 있으며, 본 발명의 관제부(30)는 상기 열거한 보안관제시스템에 한정되지 않는다. 상기 관제부(30)는 로그수집부(31)와 탐지부(33)를 포함할 수 있다.
상기 로그수집부(31)는 정보자산으로부터 전달되는 로그를 수집한다. 정보자산이란 보안장비, 엔드포인트(Endpoint) 등 정보를 탑재하거나 관리할 수 있는 자산을 지칭한다. 로그란 시스템의 기록을 담고 있는 데이터로, 로그 데이터 분석을 통하여 외부로부터의 침입 감지 및 추적, 시스템 성능관리 등이 가능하다. 웹 로그, 웹탑 로그 등이 존재하며, 상기 로그수집부(31)는 네트워크 시스템 내에서 발생하는 로그를 수집하게 된다. 이후 수집된 로그는 후술하는 저장부(50)에 저장될 수 있으며, 전술한 전처리부(11)에서의 요청에 의해 변수에 해당하는 조건을 가진 로그가 전송될 수 있다.
상기 탐지부(33)는 상기 기계학습부(13)에서 빈도형 보안정책을 제공받아 기록하고, 기존 보안정책과 함께 전처리된 로그와 보안정책을 비교판단하여 실시간으로 보안이벤트를 처리한다. 도 6을 참고하면, 상기 탐지부(33)는 정책수신모듈(331), 판단모듈(333) 및 알림모듈(335)을 포함할 수 있다.
상기 정책수신모듈(331)은 생성된 보안정책을 수신하고 기존 보안정책에 적용한다. 상기 기계학습부(13)에서 생성된 보안정책은 로그 필드를 기반으로 한 보안정책으로, 기존의 보안장비에 기록되어있던 보안정책과 비교하여 동일한 로그 필드를 기반으로 한 정책이 있다면 생성된 보안정책으로 교체하고, 동일하지 않은 로그 필드를 기반으로 하거나 로그 필드를 기반으로 하지 않은 경우 정책을 유지하면서 생성된 보안정책을 추가하여 새로운 보안정책으로 삼는 것이다.
상기 판단모듈(333)은 상기 정책수신모듈(331)에서 적용된 새로운 보안정책과 전처리된 로그를 비교하여 위협요소를 탐지하고 위험도를 판단한다. 상기 위험도란 위협요소에 따라 기 수립된 가중치 및 연산식을 이용하여 산출된 정량적인 척도이다. 따라서 발생한 보안이벤트에 따라서 상이한 위험도를 판단함으로써 보안이벤트별 우선순위를 산정하거나 판단하도록 보조할 수 있다.
상기 알림모듈(335)은 탐지한 위협요소에 따른 보안이벤트 및 위험도를 사용자에게 전달한다. 상기 위험도에 따라 상이한 수준의 알림을 제공하며, 시각적 방법과 청각적 방법으로의 제공을 포함하되, 이외의 공지된 또는 공지될 방법으로 사용자에게 제공할 수 있다.
다시 도 2로 돌아가면, 저장부(50)는 수집된 로그, 전처리한 데이터, 메타데이터, 보안이벤트를 저장할 수 있다. 수집된 로그는 로그DB에 저장되고, 전처리한 데이터와 이에 대한 메타데이터는 메타데이터DB에 저장된다. 또한 보안이벤트는 보안이벤트DB에 저장되어 기계학습, 로그 분석 또는 데이터마이닝 등의 수행에 사용될 수 있다. 저장부 및 각 DB는 여러 공지된 방법에 따라 저장될 수 있으며, 저장부 및 각 DB가 물리적으로 분리되어 있더라도 무방하다.
상기 입출력부(70)는 변수 또는 명령 커맨드를 입력하고, 학습결과인 보안정책 및/또는 탐지결과를 출력받을 수 있다. 상기 입출력부(70)는 입력모듈(71) 및 출력모듈(73)을 포함할 수 있다.
상기 입력모듈(71)은 변수 또는 명령 커맨드를 입력한다. 상기 변수 또는 명령 커맨드가 입력되는 경로로서의 인터페이스는 명령 줄 인터페이스(CLI)일 수 있으며, 변수 입력에 사용되는 다른 공지된 또는 공지될 인터페이스도 가능하다.
상기 출력모듈(73)은 학습결과인 보안정책 및/또는 탐지결과를 출력받을 수 있다. 여러 공지된 인터페이스를 사용하여 사용자에게 각 결과가 제공된다.
이상에서 본 발명의 실시예에 따른 기계학습 기반 빈도형 보안정책 생성시스템(1)을 설명하였다. 이하에서는 도 7 내지 도 10을 참고하여 본 발명의 다른 일 실시예로써, 기계학습 기반 빈도형 보안정책 생성방법(S1)을 설명하도록 한다. 도 7은 본 발명의 일 실시예에 따른 기계학습 기반 빈도형 보안정책 생성방법(S1)의 흐름도이다. 상기 기계학습 기반 빈도형 보안정책 생성방법(S1)은 로그수집단계(S10), 입력단계(S20), 전처리단계(S30), 기계학습단계(S50), 탐지단계(S70) 및 출력단계(S70)를 포함할 수 있다.
상기 로그수집단계(S10)는 로그수집부(31)에서 거치는 과정으로, 정보자산으로부터 전달되는 로그를 수집하는 단계이다. 본 발명의 일 실시예에서는 SIEM(Security Information and Event Management)을 통하여 네트워크 상 정보자산으로부터 로그를 수집하나, 다른 실시예에서는 SIEM이 아닌 다른 보안관제시스템이 로그를 수집할 수 있다.
상기 입력단계(S20)는 변수 또는 명령 커맨드를 입력모듈(71)을 통해 입력하는 단계이다. 상기 변수 또는 명령 커맨드가 입력되는 경로로서의 인터페이스는 명령 줄 인터페이스(CLI)일 수 있으며, 변수 입력에 사용되는 다른 공지된 또는 공지될 인터페이스도 가능하다.
상기 전처리단계(S30)는 이하에서 도 8을 참고하여 설명하도록 한다. 상기 전처리단계(S30)는 변수를 추출하고 분석의 대상이 되는 로그데이터를 변수에 따라 변환하는 단계이다. 전처리부(11)에서 수행되며, 전처리된 로그 기반 데이터는 기계학습에 사용된다. 상기 전처리단계는 변수추출단계(S31), 데이터수집단계(S33), 데이터 변환단계(S35)를 포함할 수 있다.
상기 변수추출단계(S31)는 변수추출부(111)에서 수행될 수 있으며, 기계학습에 이용되는 데이터세트를 형성할 목적으로 변수를 결정한다. 상술한 바와 같이 상기 변수는 여러 값이 될 수 있으며, 바람직하게는 장비, 위협유형에 해당하는 필드명 또는 가중치 중 적어도 하나 이상을 포함할 수 있다.
본 발명의 일 실시예에서, 상기 변수추출단계(S31)는 변수수신단계(S311)를 포함할 수 있다. 사용자에 의해 입력되는 변수를 수신하는 단계이다. 명령 인터페이스(CLI)를 통해 변수가 입력되면 해당 변수를 입력값으로 한다.
본 발명의 다른 실시예에서는 상기 변수추출단계(S31)는 변수참조단계(S313)를 포함할 수 있다. 변수가 입력되지 않거나, 입력된 변수 값 중 필요한 정보가 누락된 경우 메타데이터DB에서 해당하는 변수를 참조할 수 있다.
본 발명의 또 다른 실시예에서는, 상기 변수추출단계(S31)는 변수수신단계(S311)와 변수참조단계(S313)를 모두 포함할 수 있다. 먼저 변수수신단계(S311)에서 입력되는 정보자산, 위협요소 종류 또는 가중치 등의 변수를 입력받은 후, 누락된 변수에 대하여 변수참조단계(S313)를 통해 입력하는 과정을 거칠 수도 있다.
데이터수집단계(S33)는 상기 변수추출단계(S31)에서 추출된 변수에 따라 상기 로그수집단계(S10)에서 수집한 로그의 적어도 일부를 수집할 수 있다. 이 때 수집되는 로그는 추출된 변수에 적합한 로그일 수 있다. 상술한 바와 같이, 설정된 변수마다 다른 로그를 수집할 수 있고, 상기 변수가 복수 개 존재하는 경우 변수에 적합한 로그를 모두 수집할 수도 있다.
상기 데이터변환단계(S35)는 상기 데이터수집단계(S33)에서 수집한 로그를 정규 형식으로 변환하고 데이터 정제를 실시한다. 일예로, 정규화된 로그는 Time, Type, SentIP, DestIP, Payload 등을 비롯한 필드를 포함하는 데이터로 구성될 수 있다. 이때, Time은 이벤트의 탐지시각, Type은 이벤트의 유형, SentIP는 출발지 IP, DestIP는 이벤트의 목적지 IP, Payload는 로그에 담긴 공격의 정보가 될 수 있다. 상기 로그 및 정규화된 로그가 포함하고 있는 정보 및/또는 필드는 예시적인 사항이며, 보안관제에 필요한 다른 정보 및/또는 필드를 포함할 수 있는 것을 알 수 있다. 수집된 데이터는 상기 정보들 중 일부를 결여할 수 있으며, 중복하여 포함할 수도 있고, 필드의 값의 유형이 다를수도 있다. 이에 따라 상기 데이터변환단계(S35)는 정규 형식으로 변환함과 동시에 결여된 값을 채우거나, 중복된 값을 지우는 등의 데이터 정제를 할 수도 있다. 본 발명의 일 실시예에서는 보안정책이 전술한 바와 같이 빈도를 그 기준으로 하는 바, 기본적으로 시간에 대한 필드명은 포함되도록 데이터를 변환할 수 있다.
변수를 추출하고 수집한 로그를 데이터로 변환하는 과정이 완료되면, 전처리한 데이터를 기계학습부(13)로 전송하게 된다(S37).
이하는 도 9를 참고하여 본 발명의 일 실시예에서 수행되는 기계학습단계(S50)를 설명하도록 한다. 상기 기계학습단계(S50)는 제공받은 전처리된 데이터로부터 기계학습 알고리즘을 사용하여 주기적 또는 실시간으로 빈도형 보안정책을 생성할 수 있다. 기계학습을 통하여 정해진 주기에 어느정도의 위협이 탐지될 때 유효한 공격으로 판단할지를 정하므로, 보안관리자가 탐지된 보안이벤트를 보고 수작업으로 위협 발생 여부를 판단하는 것보다 신속하고 정확하므로 보안시스템의 과탐 및 오탐을 효과적으로 줄일 수 있으며 결론적으로 보안관제의 효율성을 향상시킬 수 있다. 상기 기계학습단계(S50)는 알고리즘선택단계(S51), 조정단계(S53), 학습단계(S55) 및 결과분석단계(S57)를 포함할 수 있다.
상기 알고리즘선택단계(S51)는 전처리된 데이터에 대하여 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택하는 단계로, 알고리즘선택모듈(131)에서 수행될 수 잇다. 기계학습에 사용되는 알고리즘은 여러가지가 있을 수 있는 바, 전처리된 데이터에 대하여 어떠한 알고리즘을 사용하여 학습을 진행할 것인지 선택할 수 있으며, 알고리즘의 조합을 선택할 수도 있다. 상기 알고리즘을 선택하는 것은 전처리된 데이터의 형식에 따라 어떤 알고리즘이 학습에 적합한지 기록한 정보를 메타데이터DB 등에서 참조할 수도 있으며, 사용자가 알고리즘을 선택할 수도 있다. 상기 알고리즘선택단계(S51)는 주기선택단계(S511)와 클러스터링선택단계(S513)를 포함할 수 있다.
상기 주기선택단계(S511)는 후술하는 학습단계(S55)에서 정책모델의 주기를 결정할 때 사용할 알고리즘을 선택하는 단계로, 주기선택모듈(1311)에서 수행될 수 있다. 상술한 바와 유사하게 상기 주기선택단계(S511)에서는 어떤 알고리즘을 사용하여 위협 발생의 패턴을 학습할 것인지 결정할 수 있으며, 평활화 작업을 진행한다. 열거한 알고리즘에 국한되지 않고 평활화에 사용될 수 있는 공지된 혹은 공지될 단일의 알고리즘 또는 알고리즘의 조합이 선택될 수 있다.
상기 클러스터링선택단계(S513)는 데이터가 위협요소에 해당하는지 여부 및/또는 위협요소 타겟을 분류하기 위해 사용하는 알고리즘을 선택하는 단계로, 클러스터링선택모듈(1313)에서 수행될 수 있다. k-평균, GMM, SVM 등의 알고리즘이 선택될 수 있으며, 상기 알고리즘들의 조합이 선택될 수도 있으며, 열거한 알고리즘에 국한되지 않고 기계학습에 사용되는 공지된 혹은 공지될 단일의 알고리즘 또는 알고리즘의 조합이 선택될 수 있다.
상기 조정단계(S53)은 후술하는 학습단계(S55)에서 도출되는 정책모델의 정확도를 위하여 변수 및/또는 데이터를 최적화한다. 초기 도출되는 정책모델은 예측능력과 정확도가 충분히 높지 않을 수 있으므로, 더 높은 정확도을 위해 학습에 사용되는 변수 및/또는 데이터를 조정한다. 상기 변수나 데이터를 조정하는 방식으로는 변수 값의 교체 내지 추가 혹은 삭제가 있을 수 있으며, 사용되는 학습 데이터의 값이 대체될 수도 있다.
상기 학습단계(S55)는 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하고 정책모델을 도출하는 단계로 학습모듈(135)에서 수행될 수 있다. 상기 학습단계(S55)는 정책모델의 목적인 위협의 발생 빈도를 도출해내야 하기 때문에 상기 목적에 따라 주기추출단계(S551)와 타겟추출단계(S553)를 포함할 수 있다.
상기 주기추출단계(S551)는 주기 결정 알고리즘을 이용하여 기계학습을 수행하여 주기가 포함된 정책모델을 도출한다. 전술한 바와 같이 평활화(Smoothing) 작업을 거쳐 계절성(Seasonality)을 띄는 데이터세트를 학습한다면 상기 정책모델의 시계열적 기준인 주기를 도출할 수 있다.
상기 타겟추출단계(S553)에서는 데이터가 위협요소에 해당하는지 여부 및/또는 위협요소 타겟을 분류하고 기준 횟수가 포함된 정책모델을 추출한다. 본 발명의 타겟추출단계(S553)에서 추출된는 정책모델은 예시에 한정되지 않으며, 트래픽 외에도 공지된 또는 공지될 위협에 관하여 해당여부 및/또는 위협유형을 분류하고 기준 횟수가 포함된 정책모델을 추출할 수 있는 것이 인지된다.
상기 결과분석단계(S57)는 상기 학습단계(S55)에서 추출된 정책모델을 평가하여 재학습 요청하거나 승인하여 보안정책을 생성하는 단계이다. 기계학습을 통해 추출된 정책모델은 과적합 등의 오류가 있을 수 있는 바, 정책모델을 평가하여 예측 정확도에 대해서 평가하고, 기준에 따라 재학습 요청하거나 승인할 수 있다. 상기 결과분석단계(S57)는 평가단계(S571)와 결정단계(S573)를 포함할 수 있다.
상기 평가단계(S571)는 상기 학습단계(S55)로부터 생성된 정책모델을 평가하여 상기 정책모델이 새로운 데이터에 대해서 얼마나 일반화 가능한지 측정한다. 정확도, 손실 등을 포함한 척도로 생성된 정책모델이 얼마나 예측 정확도가 높은지에 대해서 평가할 수 있으며, 기계학습에 사용된 데이터세트에만 최적화된 것은 아닌지 등을 평가할 수 있다. 평가방법은 기계학습에 대한 공지된 또는 공지될 평가방법을 포함할 수 있다.
상기 결정단계(S573)는 상기 평가단계(S571)에서 상기 정책모델을 평가한 결과를 기반으로 하여 기준에 따라 재학습 요청하거나 또는 승인할 수 있다. 평가 점수가 지정한 기준 점수에 도달하지 못하면 재학습 요청할 수 있으며, 지정한 기준 점수를 초과하면 상기 정책모델을 승인할 수 있다. 재학습 요청이 있으면, 조정단계(S53)로 돌아가 변수 또는 학습에 사용되는 데이터에 대해서 수정과정을 거친 후 새로운 변수값 또는 데이터세트를 이용하여 학습을 하여 적합한 정책모델을 추출하게 된다.
도 10은 본 발명의 일 실시예에 따른 기계학습 기반 빈도형 보안정책 생성방법(S1)에서 탐지단계(S70)의 흐름도이다. 이하는 도 10을 참고하여 본 발명의 탐지단계(S70)에 대해서 설명하도록 한다. 상기 탐지단계(S70)는 생성된 빈도형 보안정책을 제공받아 기록하고, 기존 보안정책과 함께 전처리된 로그와 보안정책을 비교판단하여 실시간으로 보안이벤트를 처리하는 단계로, 관제부(30)에서 수행될 수 있다. 상기 탐지단계는 정책수신단계(S71), 판단단계(S73), 알림단계(S75)를 포함할 수 있다.
상기 정책수신단계(S71)는 생성된 보안정책을 수신하고 기존 보안정책에 적용하는 단계이다. 로그 필드를 기반으로 생성된 보안정책을 수신하여 기존의 보안장비에 기록되어있던 보안정책과 비교한다. 이때 동일한 로그 필드를 기반으로 한 정책이 있다면 생성된 보안정책으로 교체하고, 동일하지 않은 로그 필드를 기반으로 하거나 로그 필드를 기반으로 하지 않은 경우 정책을 유지하면서 생성된 보안정책을 추가하여 새로운 보안정책으로 삼을 수 있다.
상기 판단단계(S73)는 상기 정책수신단계(S71)에서 적용된 새로운 보안정책과 전처리된 로그를 비교하여 위협요소를 탐지하고 위험도를 판단한다. 상기 위험도란 위협요소에 따라 기 수립된 가중치 및 연산식을 이용하여 산출된 정량적인 척도이다. 따라서 발생한 보안이벤트에 따라서 상이한 위험도를 판단함으로써 보안이벤트별 우선순위를 산정하거나 판단하도록 보조할 수 있다.
상기 알림단계(S75)는 탐지한 위협요소에 따른 보안이벤트 및 위험도를 사용자에게 전달한다. 상기 위험도에 따라 상이한 수준의 알림을 제공하며, 시각적 방법과 청각적 방법으로의 제공을 포함하되, 이외의 공지된 또는 공지될 방법으로 사용자에게 제공할 수 있다.
출력단계(S90)에서는 학습결과인 보안정책 및/또는 탐지결과가 출력된다. 여러 공지된 인터페이스를 사용하여 사용자에게 각 결과가 제공되며 출력모듈(73)에서 수행될 수 있다. 사용자, 바람직하게는 보안관리자는 보안정책 및/또는 탐지된 보안 이벤트를 확인하고 상황에 맞게 대처하여 네트워크의 보안을 강화할 수 있다.
상기의 단계를 통하여 기계학습을 기반으로 하는 빈도형 보안정책을 생성 및 적용하여 결과적으로 보안시스템의 과탐 또는 오탐을 최소화할 수 있는 기계학습 기반 빈도형 보안정책 생성시스템 및 기계학습 기반 빈도형 보안정책 생성방법이 도출된다.
이상에서 설명한 본 발명의 실시 예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술 분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상의 상세한 설명은 본 발명을 예시하는 것이다. 또한, 전술한 내용은 본 발명의 바람직한 실시 형태를 나타내어 설명하는 것이며, 본 발명은 다양한 다른 조합, 변경 및 환경에서 사용할 수 있다. 즉 본 명세서에 개시된 발명의 개념의 범위, 저술한 개시 내용과 균등한 범위 및/또는 당업계의 기술 또는 지식의 범위내에서 변경 또는 수정이 가능하다. 저술한 실시예는 본 발명의 기술적 사상을 구현하기 위한 최선의 상태를 설명하는 것이며, 본 발명의 구체적인 적용 분야 및 용도에서 요구되는 다양한 변경도 가능하다. 따라서 이상의 발명의 상세한 설명은 개시된 실시 상태로 본 발명을 제한하려는 의도가 아니다. 또한 첨부된 청구범위는 다른 실시 상태도 포함하는 것으로 해석되어야 한다.
1: 기계학습 기반 빈도형 보안정책 생성시스템
10: 정책생성부 11: 전처리부
111: 변수추출부 1111: 변수수신모듈
1113: 변수참조모듈 113: 데이터처리부
1131: 데이터수집모듈 1133: 데이터변환모듈
13: 기계학습부 131: 알고리즘선택모듈
1311: 주기선택모듈 1313: 클러스터링선택모듈
133: 조정모듈 135: 학습모듈
1351: 주기추출모듈 1353: 타겟추출모듈
137: 결과분석모듈 1371: 평가모듈
1373: 결정모듈 30: 관제부
31: 로그수집부 33: 탐지부
331: 정책수신모듈 333: 판단모듈
335: 알림모듈 50: 저장부
70: 입출력부 71: 입력모듈
73: 출력모듈
S1: 기계학습 기반 빈도형 보안정책 생성방법
S10: 로그수집단계 S20: 입력단계
S30: 전처리단계 S31: 변수추출단계
S311: 변수수신단계 S313: 변수참조단계
S33: 데이터수집단계 S35: 데이터변환단계
S50: 기계학습단계 S51: 알고리즘선택단계
S511: 주기선택단계 S513: 클러스터링선택단계
S53: 조정단계 S55: 학습단계
S551: 주기추출단계 S553: 타겟추출단계
S57: 결과분석단계 S571: 평가단계
S573: 결정단계 S70: 탐지단계
S71: 정책수신단계 S73: 판단단계
S75: 알림단계 S90: 출력단계

Claims (20)

  1. 정보자산으로부터의 로그를 수집하고 저장하며, 위협요소를 탐지하고 위험도를 판단하여 사용자에게 통지하는 관제부와 변수에 따라 데이터를 처리하고, 기계학습 알고리즘을 통해 보안정책을 생성하는 정책생성부를 포함하되,
    상기 정책생성부는, 변수에 따라 수집된 로그를 전처리하는 전처리부와, 변환된 데이터를 기반으로 알고리즘을 사용하여 빈도형 보안정책을 생성하는 기계학습부를 포함하고,
    상기 전처리부는 변수를 입력받거나 결정하여 추출하는 변수추출부와 상기 변수에 따라 수집된 로그를 데이터로 수집하고 변환하는 데이터처리부를 포함하되, 상기 데이터처리부는 로그를 수집하는 데이터수집모듈과 상기 로그를 변환하는 데이터변환모듈을 포함하여 상기 데이터를 시간에 대한 데이터가 포함되도록 정규 형식으로 변환하고,
    상기 기계학습부는, 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택하는 알고리즘선택모듈, 기계학습을 통하여 위협 빈도를 기준으로 하는 정책모델을 도출하는 학습모듈, 정책모델의 정확도를 위해 변수 및/또는 로그 데이터를 최적화하는 변수조정모듈 및 상기 학습모듈에서 도출된 정책모델을 평가하여 보안정책을 생성하는 결과분석모듈을 포함하고,
    상기 알고리즘 선택모듈은, 보안정책의 탐지 기준이 되는 주기를 결정하는 알고리즘을 선택하는 주기선택모듈과 데이터를 분류하여 위협요소를 판단하는 알고리즘을 선택하는 클러스터링선택모듈을 포함하고,
    상기 학습모듈은, 주기추출모듈과 타겟추출모듈을 포함하며, 상기 타겟추출모듈은 위협요소와 기준 횟수를 추출하고, 상기 주기추출모듈은 평활화를 거쳐 보안정책의 시계열적 기준인 주기를 추출하여,
    생성되는 상기 보안정책은 위협발생 빈도를 탐지 기준으로 하는 기계학습 기반 빈도형 보안정책 생성시스템.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 제1항에 있어서, 상기 결과분석모듈은,
    상기 학습모듈로부터 생성된 정책모델을 평가하는 평가모듈과 정책모델을 평가한 결과를 기준에 따라 재학습 요청하거나 승인하는 결정모듈을 포함하는 것을 특징으로 하는 기계학습 기반 빈도형 보안정책 생성시스템.
  7. 제1항에 있어서, 상기 변수추출부는,
    변수를 입력받는 변수수신모듈을 포함하며,
    상기 변수는 정보자산, 위협요소 종류 또는 가중치 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 기계학습 기반 빈도형 보안정책 생성시스템.
  8. 제7항에 있어서, 상기 변수추출부는,
    변수를 참조하여 결정하는 변수참조모듈을 더 포함하는 것을 특징으로 하는 기계학습 기반 빈도형 보안정책 생성시스템.
  9. 삭제
  10. 제1항에 있어서, 상기 관제부는,
    정보자산으로부터 전달되는 로그를 수집하는 로그수집부와, 생성된 보안정책을 제공받아 기록하고, 수집된 로그와 비교판단하여 위협요소를 탐지하고 위험도를 판단하여 사용자에게 통지하는 탐지부를 포함하는 기계학습 기반 빈도형 보안정책 생성시스템.
  11. 제1항, 제6항 내지 제8항 및 제10항 중 어느 한 항에 있어서, 수집된 로그, 전처리한 데이터와 이에 대한 메타데이터, 탐지된 보안이벤트 중 적어도 하나 이상을 저장하는 저장부와
    시스템에 변수를 입력하고, 탐지된 보안이벤트, 보안정책의 주기 및/또는 타겟 중 적어도 하나 이상을 출력하는 입출력부를 더 포함하는 것을 특징으로 하는 기계학습 기반 빈도형 보안정책 생성시스템.
  12. 변수를 추출하고 분석대상 로그 데이터를 변수에 따라 변환하는 전처리단계, 알고리즘을 사용하여 빈도형 보안정책을 추출하는 기계학습단계, 추출된 상기 빈도형 보안정책을 기반으로 위협요소를 탐지하는 탐지단계를 포함하되,
    상기 전처리단계는 변수를 입력받거나 결정하여 추출하는 변수추출단계, 추출된 변수에 따라 관제부에서 수집한 로그의 적어도 일부를 수집하는 데이터수집단계 및 수집한 로그를 시간에 대한 데이터가 포함되도록 정규 형식으로 변환하는 데이터변환단계를 포함하며,
    상기 기계학습단계는 기계학습을 통하여 위협 빈도를 기준으로 하는 정책모델을 도출하는 학습단계와, 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택하는 알고리즘선택단계를 포함하고,
    상기 알고리즘선택단계는 보안정책의 탐지 기준이 되는 주기를 결정하는 알고리즘을 선택하는 주기선택단계와 데이터를 분류하여 위협요소를 판단하는 알고리즘을 선택하는 클러스터링선택단계를 포함하며,
    상기 학습단계는 주기추출단계와 타겟추출단계를 포함하며, 상기 타겟추출단계는 위협요소와 기준 횟수를 추출하고, 상기 주기추출단계는 평활화를 거쳐 보안정책의 시계열적 기준인 주기를 추출하여, 위협발생 빈도를 탐지 기준으로 하는 보안정책을 생성하는 기계학습 기반 빈도형 보안정책 생성방법.
  13. 제12항에 있어서, 상기 기계학습단계는 정책모델의 정확도를 위해 변수 및/또는 로그 데이터를 최적화하는 변수조정단계 및 상기 학습단계에서 도출된 정책모델을 평가하여 보안정책을 생성하는 결과분석단계를 더 포함하는 것을 특징으로 하는 기계학습 기반 빈도형 보안정책 생성방법.
  14. 삭제
  15. 삭제
  16. 제13항에 있어서, 상기 결과분석단계는,
    상기 학습단계로부터 생성된 정책모델을 평가하는 평가단계와 정책모델을 평가한 결과를 기준에 따라 재학습 요청하거나 승인하는 결정단계를 포함하는 것을 특징으로 하는 기계학습 기반 빈도형 보안정책 생성방법.
  17. 삭제
  18. 제12항에 있어서, 상기 변수추출단계는,
    변수를 입력받은 경우 입력모듈에서 변수를 수신하는 변수수신단계 또는 변수를 입력받지 않은 경우 변수를 참조하여 변수를 결정하는 변수참조단계를 포함하는 것을 특징으로 하는 기계학습 기반 빈도형 보안정책 생성방법.
  19. 제12항에 있어서, 상기 탐지단계는,
    기계학습부에서 생성된 보안정책을 수신하고 기존 보안정책에 적용하는 정책수신단계, 전처리된 로그와 보안정책을 비교하여 위협요소를 탐지하고 위험도를 판단하는 판단단계 및 탐지한 위협요소 및 위험도를 사용자에게 전달하는 알림단계를 포함하는 것을 특징으로 하는 기계학습 기반 빈도형 보안정책 생성방법.
  20. 제12항 내지 제13항, 제16항, 제18항 내지 제19항 중 어느 한 항에 있어서, 정보자산으로부터의 로그를 수집하는 로그수집단계, 변수를 입력받는 입력단계, 탐지된 보안이벤트 및/또는 위험도를 출력하는 출력단계를 더 포함하는 것을 특징으로 하는 기계학습 기반 빈도형 보안정책 생성방법.
KR1020190043355A 2019-04-12 2019-04-12 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법 KR102108960B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190043355A KR102108960B1 (ko) 2019-04-12 2019-04-12 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190043355A KR102108960B1 (ko) 2019-04-12 2019-04-12 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR102108960B1 true KR102108960B1 (ko) 2020-05-13

Family

ID=70730150

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190043355A KR102108960B1 (ko) 2019-04-12 2019-04-12 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102108960B1 (ko)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112003272A (zh) * 2020-08-11 2020-11-27 东北电力大学 一种基于卷积神经网络的电力系统频率安全控制方法
KR102222377B1 (ko) * 2020-08-25 2021-03-03 주식회사 로그프레소 위협 대응 자동화 방법
KR102227332B1 (ko) * 2020-08-31 2021-03-12 주식회사 알바체크 신경망 모델 기반의 매장 맞춤형 업무를 추천하는 매장 관리 장치 및 매장 관리 방법
KR20210155306A (ko) 2020-06-15 2021-12-22 배성순 실외 설치용 실내 공기정화기
KR102361766B1 (ko) * 2021-10-08 2022-02-14 주식회사 이글루시큐리티 자산 서버 정보를 수집함으로써 siem의 경보 규칙을 최적화하는 방법 및 이를 지원하는 장치
KR102410151B1 (ko) * 2021-12-08 2022-06-22 에스지에이솔루션즈 주식회사 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체
KR102433831B1 (ko) * 2021-11-17 2022-08-18 한국인터넷진흥원 보안관제 의사결정 지원 시스템 및 방법
KR102480222B1 (ko) 2022-03-31 2022-12-23 주식회사 오픈텔 룰메이커 인터페이스 제공 시스템 및 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100623552B1 (ko) * 2003-12-29 2006-09-18 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
JP2015001888A (ja) * 2013-06-17 2015-01-05 富士ゼロックス株式会社 情報処理プログラム及び情報処理装置
KR101503701B1 (ko) 2014-04-30 2015-03-20 (주)아이비즈소프트웨어 빅데이터 기반 정보 보호 방법 및 장치
KR20160090905A (ko) * 2013-12-02 2016-08-01 인텔 코포레이션 보안 규칙 평가를 포함하는 보호 시스템
KR101814368B1 (ko) * 2017-07-27 2018-01-04 김재춘 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100623552B1 (ko) * 2003-12-29 2006-09-18 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
JP2015001888A (ja) * 2013-06-17 2015-01-05 富士ゼロックス株式会社 情報処理プログラム及び情報処理装置
KR20160090905A (ko) * 2013-12-02 2016-08-01 인텔 코포레이션 보안 규칙 평가를 포함하는 보호 시스템
KR101503701B1 (ko) 2014-04-30 2015-03-20 (주)아이비즈소프트웨어 빅데이터 기반 정보 보호 방법 및 장치
KR101814368B1 (ko) * 2017-07-27 2018-01-04 김재춘 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210155306A (ko) 2020-06-15 2021-12-22 배성순 실외 설치용 실내 공기정화기
CN112003272A (zh) * 2020-08-11 2020-11-27 东北电力大学 一种基于卷积神经网络的电力系统频率安全控制方法
KR102222377B1 (ko) * 2020-08-25 2021-03-03 주식회사 로그프레소 위협 대응 자동화 방법
KR102227332B1 (ko) * 2020-08-31 2021-03-12 주식회사 알바체크 신경망 모델 기반의 매장 맞춤형 업무를 추천하는 매장 관리 장치 및 매장 관리 방법
KR102361766B1 (ko) * 2021-10-08 2022-02-14 주식회사 이글루시큐리티 자산 서버 정보를 수집함으로써 siem의 경보 규칙을 최적화하는 방법 및 이를 지원하는 장치
KR102433831B1 (ko) * 2021-11-17 2022-08-18 한국인터넷진흥원 보안관제 의사결정 지원 시스템 및 방법
KR102410151B1 (ko) * 2021-12-08 2022-06-22 에스지에이솔루션즈 주식회사 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체
WO2023106504A1 (ko) * 2021-12-08 2023-06-15 에스지에이솔루션즈 주식회사 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체
KR102480222B1 (ko) 2022-03-31 2022-12-23 주식회사 오픈텔 룰메이커 인터페이스 제공 시스템 및 방법

Similar Documents

Publication Publication Date Title
KR102108960B1 (ko) 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법
Kumar et al. A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing
US11973774B2 (en) Multi-stage anomaly detection for process chains in multi-host environments
US11522887B2 (en) Artificial intelligence controller orchestrating network components for a cyber threat defense
KR102055843B1 (ko) 이벤트 기반 보안정책 실시간 최적화 시스템 및 그 방법
Shameli-Sendi et al. Taxonomy of intrusion risk assessment and response system
Farid et al. Combining naive bayes and decision tree for adaptive intrusion detection
Hamed et al. A survey and taxonomy of classifiers of intrusion detection systems
Nooribakhsh et al. A review on statistical approaches for anomaly detection in DDoS attacks
KR102089688B1 (ko) 준지도학습을 통한 인공지능 기반 보안이벤트 분석시스템 및 그 방법
Hajj et al. Anomaly‐based intrusion detection systems: The requirements, methods, measurements, and datasets
Soniya et al. Intrusion detection system: Classification and techniques
David et al. Zero day attack prediction with parameter setting using Bi direction recurrent neural network in cyber security
Dinh et al. Dynamic economic-denial-of-sustainability (EDoS) detection in SDN-based cloud
Vashishtha et al. HIDM: A hybrid intrusion detection model for cloud based systems
Kozik et al. Machine learning techniques for cyber attacks detection
Mvula et al. A systematic literature review of cyber-security data repositories and performance assessment metrics for semi-supervised learning
CN206332695U (zh) 一种基于用户行为和数据状态的自适应安全防护系统
Walling et al. A survey on intrusion detection systems: Types, datasets, machine learning methods for NIDS and challenges
AsSadhan et al. A robust anomaly detection method using a constant false alarm rate approach
Xu et al. Xatu: Boosting existing DDoS detection systems using auxiliary signals
Gupta Robust and efficient intrusion detection systems
Chaudhari et al. A study on data mining & machine learning for intrusion detection system
Kumar et al. Knowledge computational intelligence in network intrusion detection systems
Prabu et al. An Automated Intrusion Detection and Prevention Model for Enhanced Network Security and Threat Assessment

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant