KR102370858B1 - 기업정보시스템에 대한 이상행위 탐지 결과를 우주 궤도 형상으로 시각화하는 방법 및 시스템 - Google Patents

기업정보시스템에 대한 이상행위 탐지 결과를 우주 궤도 형상으로 시각화하는 방법 및 시스템 Download PDF

Info

Publication number
KR102370858B1
KR102370858B1 KR1020210099147A KR20210099147A KR102370858B1 KR 102370858 B1 KR102370858 B1 KR 102370858B1 KR 1020210099147 A KR1020210099147 A KR 1020210099147A KR 20210099147 A KR20210099147 A KR 20210099147A KR 102370858 B1 KR102370858 B1 KR 102370858B1
Authority
KR
South Korea
Prior art keywords
abnormal behavior
data
detection
category
visualizing
Prior art date
Application number
KR1020210099147A
Other languages
English (en)
Inventor
김옥수
정세훈
Original Assignee
주식회사 아미크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아미크 filed Critical 주식회사 아미크
Priority to KR1020210099147A priority Critical patent/KR102370858B1/ko
Application granted granted Critical
Publication of KR102370858B1 publication Critical patent/KR102370858B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0637Strategic management or analysis, e.g. setting a goal or target of an organisation; Planning actions based on goals; Analysis or evaluation of effectiveness of goals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Game Theory and Decision Science (AREA)
  • Data Mining & Analysis (AREA)
  • Debugging And Monitoring (AREA)

Abstract

기업정보시스템에 대한 이상행위 탐지 결과를 우주 궤도 형상으로 시각화하는 방법 및 시스템이 개시된다. 이상 탐지 결과 시각화 방법은, 기업정보시스템 로그 기반 데이터를 이용하여 기업정보시스템과 관련된 이상행위를 탐지하는 단계; 및 이상행위 탐지 현황을 카테고리 별로 구분하여 시각화하는 단계를 포함하고, 상기 시각화하는 단계는, 상기 카테고리 각각을 원형 궤도로 표현하여 상기 이상행위 탐지 현황을 우주 궤도 형상으로 시각화할 수 있다.

Description

기업정보시스템에 대한 이상행위 탐지 결과를 우주 궤도 형상으로 시각화하는 방법 및 시스템{METHOD AND SYSTEM TO VISUALIZE ABNORMAL BEHAVIOR DETECTION RESULT FOR ENTERPRISE RESOURCE PLANNING SYSTEM IN SHAPE OF SPACE ORBIT}
아래의 설명은 기업정보시스템에 대한 이상행위 탐지 결과를 시각화하는 기술에 관한 것이다.
기업의 현대화와 세계화는 기업의 구성을 과거에 비해 훨씬 더 복잡한 것으로 변화시키고 있다. 이러한 변화 과정 동안 많은 기업들은 운영 효율성을 개선하기 위해 비즈니스 운영의 많은 부분을 전산화하고 있다.
오늘날 재무, 인적 자원, 제조 및 공급망과 같은 다양한 기업 자원은 기업정보시스템(Enterprise Resource Planning System, ERP 시스템)이라고 불리는 전산 시스템에 의해 관리되고 있다.
이러한 변화의 와중에 기업 자원을 침해하거나 파괴하려는 기업 위협은 점점 더 정교해지고 은밀해지고 있다. 특히, 기업 내부자를 통한 기업 자원의 위협은 반드시 해결해야 할 중요한 사안이다.
예를 들어, 한국공개특허 제10-2012-0056719호(공개일 2012년 06월 04일)에는 기업 내 개인 정보의 위험도 산정을 통해 개인 정보의 대량 유출 사고를 사전에 감지하여 조기 대응하는 기술이 개시되어 있다.
기업정보시스템에 대한 이상행위 탐지 결과를 우주 궤도(space orbit) 형상으로 표현할 수 있는 시각화 기술을 제공한다.
카테고리를 원형 궤도로 구분하고 이상 빈도를 원형 궤도의 크기로 구분할 수 있는 시각화 기술을 제공한다.
컴퓨터 시스템에서 수행되는 이상 탐지 결과 시각화 방법에 있어서, 상기 컴퓨터 시스템이 포함하는 적어도 하나의 프로세서의 의해, 기업정보시스템 로그 기반 데이터를 이용하여 기업정보시스템과 관련된 이상행위를 탐지하는 단계; 및 상기 적어도 하나의 프로세서의 의해, 이상행위 탐지 현황을 카테고리 별로 구분하여 시각화하는 단계를 포함하고, 상기 시각화하는 단계는, 상기 카테고리 각각을 원형 궤도로 표현하여 상기 이상행위 탐지 현황을 우주 궤도 형상으로 시각화하는 것을 특징으로 하는 이상 탐지 결과 시각화 방법을 제공한다.
컴퓨터 시스템으로 구현되는 이상 탐지 결과 시각화 시스템에 있어서, 메모리에 포함된 컴퓨터 판독가능한 명령들을 실행하도록 구성된 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서는, 기업정보시스템 로그 기반 데이터를 이용하여 기업정보시스템과 관련된 이상행위를 탐지하는 과정; 및 이상행위 탐지 현황을 카테고리 별로 구분하여 시각화하는 과정을 처리하고, 상기 시각화하는 과정은, 상기 카테고리 각각을 원형 궤도로 표현하고 상기 카테고리 별 이상행위 탐지 빈도를 상기 원형 궤도의 크기로 표현하여 상기 이상행위 탐지 현황을 우주 궤도 형상으로 시각화하는 것을 특징으로 하는 이상 탐지 결과 시각화 시스템을 제공한다.
도 1은 본 발명의 일실시예에 따른 컴퓨터 시스템의 예를 도시한 블록도이다.
도 2는 본 발명의 일실시예에 있어서 기업정보시스템 이상행위 탐지 시스템의 구성요소의 예를 도시한 도면이다.
도 3은 본 발명의 일실시예에 있어서 기업정보시스템 이상행위 탐지 방법의 일례를 도시한 순서도이다.
도 4는 본 발명의 일실시예에 있어서 데이터 분류 과정의 일례를 도시한 것이다.
도 5는 본 발명의 일실시예에 있어서 데이터 전송 과정의 일례를 도시한 것이다.
도 6은 본 발명의 일실시예에 있어서 학습 일정 스케줄링 과정의 일례를 도시한 것이다.
도 7은 본 발명의 일실시예에 있어서 데이터 학습 과정의 일례를 도시한 것이다.
도 8은 본 발명의 일실시예에 있어서 이상행위 탐지 과정의 일례를 도시한 것이다.
도 9 내지 도 12는 본 발명의 일실시예에 있어서 이상행위 탐지 결과를 시각화하기 위한 사용자 인터페이스 화면의 일례를 도시한 것이다.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 일 실시예에 따른 컴퓨터 시스템의 내부 구성의 일례를 설명하기 위한 블록도이다. 예를 들어, 본 발명의 실시예들에 따른 기업정보시스템 이상행위 탐지 시스템이 도 1의 컴퓨터 시스템(장치)(100)을 통해 구현될 수 있다. 도 1에 도시한 바와 같이, 컴퓨터 시스템(100)은 기업정보시스템 이상행위 탐지 방법을 실행하기 위한 구성요소로서 프로세서(110), 메모리(120), 영구 저장 장치(130), 버스(140), 입출력 인터페이스(150) 및 네트워크 인터페이스(160)를 포함할 수 있다.
프로세서(110)는 명령어들의 임의의 시퀀스를 처리할 수 있는 임의의 장치를 포함하거나 그의 일부일 수 있다. 프로세서(110)는 예를 들어 컴퓨터 프로세서, 이동 장치 또는 다른 전자 장치 내의 프로세서 및/또는 디지털 프로세서를 포함할 수 있다. 프로세서(110)는 예를 들어, 서버 컴퓨팅 디바이스, 서버 컴퓨터, 일련의 서버 컴퓨터들, 서버 팜, 클라우드 컴퓨터, 컨텐츠 플랫폼, 이동 컴퓨팅 장치, 스마트폰, 태블릿, 셋톱 박스, 미디어 플레이어 등에 포함될 수 있다. 프로세서(110)는 버스(140)를 통해 메모리(120)에 접속될 수 있다.
메모리(120)는 컴퓨터 시스템(100)에 의해 사용되거나 그에 의해 출력되는 정보를 저장하기 위한 휘발성 메모리, 영구, 가상 또는 기타 메모리를 포함할 수 있다. 메모리(120)는 예를 들어 랜덤 액세스 메모리(RAM: random access memory) 및/또는 동적 RAM(DRAM: dynamic RAM)을 포함할 수 있다. 메모리(120)는 컴퓨터 시스템(100)의 상태 정보와 같은 임의의 정보를 저장하는 데 사용될 수 있다. 메모리(120)는 예를 들어 기업정보시스템 이상행위 탐지를 위한 명령어들을 포함하는 컴퓨터 시스템(100)의 명령어들을 저장하는 데에도 사용될 수 있다. 컴퓨터 시스템(100)은 필요에 따라 또는 적절한 경우에 하나 이상의 프로세서(110)를 포함할 수 있다.
버스(140)는 컴퓨터 시스템(100)의 다양한 컴포넌트들 사이의 상호작용을 가능하게 하는 통신 기반 구조를 포함할 수 있다. 버스(140)는 예를 들어 컴퓨터 시스템(100)의 컴포넌트들 사이에, 예를 들어 프로세서(110)와 메모리(120) 사이에 데이터를 운반할 수 있다. 버스(140)는 컴퓨터 시스템(100)의 컴포넌트들 간의 무선 및/또는 유선 통신 매체를 포함할 수 있으며, 병렬, 직렬 또는 다른 토폴로지 배열들을 포함할 수 있다.
영구 저장 장치(130)는 (예를 들어, 메모리(120)에 비해) 소정의 연장된 기간 동안 데이터를 저장하기 위해 컴퓨터 시스템(100)에 의해 사용되는 바와 같은 메모리 또는 다른 영구 저장 장치와 같은 컴포넌트들을 포함할 수 있다. 영구 저장 장치(130)는 컴퓨터 시스템(100) 내의 프로세서(110)에 의해 사용되는 바와 같은 비휘발성 메인 메모리를 포함할 수 있다. 영구 저장 장치(130)는 예를 들어 플래시 메모리, 하드 디스크, 광 디스크 또는 다른 컴퓨터 판독 가능 매체를 포함할 수 있다.
입출력 인터페이스(150)는 키보드, 마우스, 음성 명령 입력, 디스플레이 또는 다른 입력 또는 출력 장치에 대한 인터페이스들을 포함할 수 있다. 구성 명령들 및/또는 기업정보시스템 이상행위 탐지를 위한 정보가 입출력 인터페이스(150)를 통해 수신될 수 있다.
네트워크 인터페이스(160)는 근거리 네트워크 또는 인터넷과 같은 네트워크들에 대한 하나 이상의 인터페이스를 포함할 수 있다. 네트워크 인터페이스(160)는 유선 또는 무선 접속들에 대한 인터페이스들을 포함할 수 있다. 구성 명령들 및/또는 기업정보시스템 이상행위 탐지를 위한 정보는 네트워크 인터페이스(160)를 통해 수신될 수 있다.
또한, 다른 실시예들에서 컴퓨터 시스템(100)은 도 1의 구성요소들보다 더 많은 구성요소들을 포함할 수도 있다. 그러나, 대부분의 종래기술적 구성요소들을 명확하게 도시할 필요성은 없다.
도 2는 일 실시예에 따른 기업정보시스템 이상행위 탐지 시스템을 나타내는 블록도이다.
도 2를 참조하면, 일 실시예에 따른 기업정보시스템 이상행위 탐지 시스템(200)은 하이브리드 아카이빙 시스템 형태로 데이터 수집 시스템(210) 및 데이터 분석 및 학습 시스템(220)으로 구성될 수 있다. 데이터 수집 시스템(210) 및 데이터 분석 및 학습 시스템(220)은 상호 연동하는 개별 시스템으로 도 1을 통해 설명한 컴퓨터 시스템(100)에 의해 구현될 수 있다.
데이터 수집 시스템(210)은 기업 시스템으로 복수의 컴퓨터 시스템으로 구성될 수 있으며, 데이터 수집 시스템(210) 각각은 데이터 수집부(211)를 포함할 수 있다.
데이터 분석 및 학습 시스템(220)은 클라우드 시스템과 같이 복수의 데이터 수집 시스템(210)과 연동 가능한 컴퓨터 시스템으로, 데이터 관리부(221), 학습 스케줄링부(222), 데이터 학습부(223), 및 이상행위 탐지부(224)를 포함하여 이루어질 수 있다.
프로세서(110) 및 프로세서(110)의 구성요소들은 도 3의 기업정보시스템 이상행위 탐지 방법이 포함하는 단계들(S310 내지 S340)을 수행할 수 있다. 예를 들어, 프로세서(110) 및 프로세서(110)의 구성요소들은 메모리(120)가 포함하는 운영체제의 코드와 상술한 적어도 하나의 프로그램 코드에 따른 명령(instruction)을 실행하도록 구현될 수 있다. 여기서, 적어도 하나의 프로그램 코드는 기업정보시스템 이상행위 탐지를 처리하기 위해 구현된 프로그램의 코드에 대응될 수 있다.
기업정보시스템 이상행위 탐지 방법은 도시된 순서대로 발생하지 않을 수 있으며, 단계들 중 일부가 생략되거나 추가의 과정이 더 포함될 수 있다.
도 3은 일 실시예에 따른 기업정보시스템 이상행위 탐지 방법을 나타내는 흐름도이다.
도 3을 참조하면, 일 실시예에 따른 컴퓨터 시스템에 의해 수행되는 기업정보시스템 이상행위 탐지 방법은 데이터 수집 시스템(210)으로부터 수집된 기업정보시스템 로그 기반 데이터를 탐지 카탈로그 별로 분류하는 단계(S310), 카탈로그 별 학습 일정을 스케줄링하는 단계(S320), 학습 일정을 기초로 데이터 셋을 이용하여 탐지 모델을 학습하는 단계(S330), 및 탐지 모델을 통해 기업정보시스템의 실시간 데이터에 대한 이상행위를 탐지하는 단계(S340)를 포함하여 이루어질 수 있다.
실시예에 따른 서비스 모델은 데이터 수집 및 분류를 통해 학습 데이터를 마련할 수 있고 데이터 학습을 통해 데이터 특성에 맞게 모델링된 탐지 모델을 구축할 수 있다. 이때, 여러 유형의 데이터 군집에 대해 여러 건의 탐지 모델을 생성 및 관리할 수 있다. 라이브러리에 등록된 탐지 모델을 통해 이상 탐지를 분석하여 분석된 이상 탐지를 오브젝트 ID(또는 시그니처)로 정의하게 되며, 이후 실시간으로 입력되는 데이터에 대해 오브젝트 ID를 통해 이상행위를 탐지할 수 있다.
도 4는 데이터 분류 단계(S310)의 세부 과정을 도시한 것이다.
데이터 분류 단계(S310)에 앞서 데이터 수집 시스템(210)에서는 목적 데이터가 존재하는 데이터베이스에 접근하여 해당 데이터를 추출 및 수집할 수 있다.
상세하게, 도 4를 참조하면, 데이터 수집부(211)는 데이터 분포를 분석하는 것으로, 기업정보시스템의 로그 데이터를 기반으로 비즈니스 유형(예를 들어, 재무, 물류, 생산, 판매 등) 별 데이터에 대한 생산량을 분석할 수 있다(S41).
데이터 수집부(211)는 분석된 데이터 분포를 통해 전송 우선 순위를 결정하여 전송 우선 순위를 기초로 수집 대상 데이터를 추출할 수 있다(S42). 다시 말해, 데이터 수집부(211)는 데이터 생산량에 대한 분석 결과에 기초하여 목적 데이터를 추출하여 서비스를 위한 클라우드 등 저장 장소로 전송할 수 있다. 일례로, 데이터 수집부(211)는 단위 기간(예를 들어, 월 단위, 주 단위 등)을 주기로 데이터를 자동 전송할 수 있다. 다른 예로, 데이터 수집부(211)는 데이터 수치가 데이터 전송 조건에 도달하는 경우 해당 데이터를 전송할 수 있다. 또 다른 예로, 데이터 수집부(211)는 긴급 처리가 필요한 시점의 관리자 요청에 따라 관리자 요청에 대응되는 데이터를 전송할 수 있다.
데이터 수집부(211)는 수집된 데이터 중 적어도 일부 데이터의 경우 압축하여 전송할 수 있다(S43). 효율적인 데이터 전송을 위해, 예를 들어 5천 내지 1만건 단위로 압축하여 전송할 수 있다. 수집된 데이터 중 데이터 특성에 따라 일부 데이터는 생성 즉시 전송될 수도 있다.
이후, 데이터 관리부(221)는 데이터 수집 시스템(210)로부터 수집된 데이터에 대해 데이터 분류 단계(S310)를 수행할 수 있다.
상세하게, 데이터 관리부(221)는 수집된 데이터를 기본적으로 압축하여 저장할 수 있다(S401). 학습 과정에서는 필요 데이터 파일만을 압축해제하여 활용할 수 있다. 데이터 관리부(221)는 저장되는 데이터량을 파악하여 비이상적 증량이 있는 경우 관리자 알림을 출력할 수 있다.
데이터 관리부(221)는 수집된 데이터를 비즈니스 유형 별로 시각화함으로써 데이터 흐름을 보여줄 수 있다(S402). 데이터 관리부(221)는 대시보드 메트릭을 선정하여 개별 필드나 연계 필드 그룹 등으로 수집된 데이터를 표시할 수 있다. 이때, 데이터 관리부(221)는 수집된 데이터를 비즈니스 유형 별로 시각화할 수 있고, 수집된 데이터뿐만 아니라 예측 데이터를 함께 보여줄 수 있다. 그리고, 데이터 관리부(221)는 특정 데이터가 일정 레벨 이상 증가하는 경우 관리자 알림을 출력할 수 있으며, 관리자는 긴급 전송 여부를 결정하기 위한 근거 자료로 활용할 수 있다.
데이터 관리부(221)는 수집된 데이터를 탐지 카탈로그 별로 분류할 수 있다(S403). 일례로, 데이터 관리부(221)는 데이터 이상 탐지가 요구되는 데이터를 연구, 구매, 제조, 물류, 판매, 서비스, 회계 등과 같은 비즈니스 카테고리로 분류할 수 있다. 다른 예로, 데이터 관리부(221)는 부서, 지점, 지역, 국가 등과 같은 시나리오 기반으로 데이터를 분류할 수도 있다. 또 다른 예로, 데이터 관리부(221)는 비즈니스 카테고리와 시나리오 카테고리를 조합하여 탐지 카탈로그를 선정할 수 있고, 이러한 탐지 카탈로그에 따라 수집된 데이터를 분류할 수 있다. 개인정보 보호, 데이터 외부 유출 방지 등을 목적으로 기업정보시스템과 관련된 운영사의 상황에 맞게 탐지 카탈로그를 선정하는 것(customize) 또한 가능하다. 다시 말해, 데이터 관리부(221)는 구체적인 탐지 시나리오를 구축하기 위해 수집된 데이터를 각 시나리오에 따른 카탈로그 별로 분류할 수 있다.
탐지 카탈로그 별 데이터를 시스템 내부 혹은 외부 스토리지에 저장하게 되는데, 일정 기간 이상 학습에 사용된 내역이 없는 데이터의 경우 보다 저렴한 클라우드 스토리지로 이동하여 저장할 수 있다.
데이터 관리부(221)는 비즈니스 카테고리로 분류된 데이터의 현재 상황과 미래 증가 추이를 결합하여 시각화할 수 있으며, 이때 미래 증가 추이는 기존 데이터로 기계학습을 활용하여 산출될 수 있다. 비즈니스 유형 데이터의 추이가 사전에 정해진 임계값을 초과하는 경우 관리자 알림을 출력할 수 있으며, 관리자는 해당 데이터와 관련하여 사전 조치를 취할 수 있다.
데이터 관리부(221)는 탐지 카탈로그 별 데이터를 시각화하여 모니터링할 수 있다. 이때, 데이터 관리부(221)는 임계치 이상의 증가량을 나타내는 데이터에 대해 원인을 분석할 수 있도록 날짜, 터미널, 비즈니스 데이터 유형, 프로그램명, 프로그램명, 실행로그, 실행자 등을 포함하는 관찰 가능성(observability) 기능을 제공할 수 있다.
도 5는 데이터 수집부(211)에 의한 데이터 전송 단계(S43)의 전송 스케줄링 과정을 도시한 것이다.
데이터 전송 단계(S43)는 수집된 데이터를 스트림형과 압축형 중 적어도 하나의 전송 방식으로 처리할 수 있다.
상세하게, 도 5를 참조하면, 데이터 수집부(211)는 관리자로부터 데이터 특성에 따라 부합되는 전송 방식을 선택받을 수 있다(S501). 데이터는 실시간 이상탐지 대상에 해당되는 데이터와 비실시간 이상탐지 대상에 해당되는 데이터로 분류될 수 있으며, 데이터 전송 방식은 압축 없이 생성 즉시 전송되는 스트림형과 압축 후 전송되는 압축형을 포함할 수 있다.
데이터 수집부(211)는 수집된 데이터 중 실시간 이상탐지 대상의 경우 빠른 데이터 처리를 위해 생성 즉시 데이터를 전송할 수 있다(S502).
데이터 수집부(211)는 수집된 데이터 중 비실시간 이상탐지 대상의 경우 데이터를 압축하여 전송할 수 있다(S503).
데이터 수집부(211)는 압축이 필요한 비실시간 이상탐지 대상에 해당되는 데이터의 경우 우선 순위를 지정하여 전송하는 것 또한 가능하다. 시스템 도착순으로 데이터를 차례로 압축하여 전송할 수 있으며, 또는 데이터 특성 별로 순서를 지정하여 지정된 순서로 데이터를 압축하여 전송할 수 있다. 수집된 데이터 중 활성 데이터를 우선 처리하는 등 우선처리 활성화 기능을 적용하는 것 또한 가능하다.
데이터 수집부(211)는 데이터의 전송 단위, 전송 주기, 긴급 전송 조건 등 전송 조건을 지정할 수 있다. 전송 단위는 데이터가 생성되는 단위 또는 데이터가 저장되는 단위로 정해질 수 있으며, 특정 건수 충족 시 예를 들어 5천 내지 1만건 단위로 데이터를 모아 전송할 수 있다. 데이터 수집부(211)는 지정된 단위 시간을 간격으로, 예를 들어 30분, 1시간, 1일, 7일, 30일 등의 주기로 데이터를 전송할 수 있다. 전송 단위와 전송 주기 이외에 비상 시 관리자 요청이 있을 때 수집된 데이터를 긴급 전송할 수 있다. 정해진 전송 조건을 충족하지 못하더라도 관리자 요청 시 데이터 전체 또는 특정 기간이나 조건의 데이터를 요청 시점에 즉시 전송할 수 있다.
비상 시 긴급 전송 과정에서 전송 완료 시 관리자 알림을 출력할 수 있고, 긴급 전송 프로세스에 반영하기 위한 선택지를 제공할 수 있다. 긴급 전송 조건을 우선으로 변경할 수 있으며, 긴급 전송의 경우 전송 방식을 스트림형으로 전환할 수 있다. 다시 말해, 이상탐지 분석 기반 위험군 데이터의 경우 긴급 전송 후 해당 데이터의 전송 방식을 스트림형으로 전환할 수 있다.
데이터 수집부(211)는 데이터 전송 후 클라우드 상에서 이상 탐지 분석을 기반으로 데이터 전송 스케줄링을 변경할 수 있다(S504). 이상 탐지 여부에 따른 전송 조건을 변경할 수 있으며, 전송 조건 변경을 위한 추천 알림을 제공할 수 있다. 이상이 탐지된 데이터의 경우 집중 분석을 위해 데이터 전송 방식을 압축형에서 스트림형으로의 전환을 추천할 수 있다. 이상 탐지 이력이 없는 데이터의 경우 비용 최적화를 위해 데이터 전송 방식을 압축형으로 변경하거나 압축형의 데이터 전송 조건(예를 들어, 전송 주기 등)을 변경할 것을 추천할 수 있다.
도 6은 학습 일정 스케줄링 단계(S320)의 세부 과정을 도시한 것이다.
학습 일정 스케줄링 단계(S320)는 비즈니스 요구사항에 따른 정규 학습 일정은 물론이고, 모니터링을 통한 데이터 증가량 혹은 별도의 관리자 설정에 따른 신규 학습 일정을 스케줄링할 수 있다.
상세하게, 도 6을 참조하면, 학습 스케줄링부(222)는 카탈로그 별로 정규 학습 스케줄을 작성할 수 있다(S601). 학습 스케줄링부(222)는 기본적으로 주, 월 등 일정 주기를 단위로 카탈로그 별 학습 일정을 스케줄링할 수 있으며, 이때 예약, 스팟 비용을 적용할 수 있다.
학습 스케줄링부(222)는 탐지 카탈로그 별 데이터에 대한 통계 정보를 모니터링할 수 있다(S602). 학습 스케줄링부(222)는 모니터링에 따라 특정 분야의 데이터가 증가하는 경우 관리자에게 신규 카탈로그 추가를 제안할 수 있다.
학습 스케줄링부(222)는 탐지 카탈로그 별 데이터에 대한 관리자 확인을 요청할 수 있다(S603). 수집된 데이터 중 특정 기간이나 특정 분야의 데이터를 학습 데이터에서 제외시킬 수 있다. 예를 들어, 월 결산 등 정기적으로 발생하는 이벤트의 경우 학습 대상 데이터에서 제외시킬 수 있다.
학습 스케줄링부(222)는 탐지 카탈로그가 생성되는 경우 카탈로그 생성에 대한 알림을 출력할 수 있다(S604). 학습 스케줄링부(222)는 분류 데이터의 통계 정보에 대한 모니터링을 통해 생성된 신규 탐지 카탈로그를 기존 카탈로그 항목에 추가할 수 있다.
학습 스케줄링부(222)는 탐지 카탈로그 학습을 위한 우선순위를 선정할 수 있다(S605). 비즈니스 요구사항, 데이터 증가량 등에 기초하여 관리자가 탐지 카탈로그의 학습 우선순위를 선정할 수 있다.
학습 스케줄링부(222)는 비용 최적화를 위해 탐지 카탈로그 별 학습 일정을 스케줄링할 수 있다(S606). 기본적으로 주, 월 등 일정 주기 별 학습 또는 카탈로그 별 학습으로 스케줄을 결정할 수 있다. 비용 최적화를 위해 보편적 스케줄링이 가능한 기본 템플릿(best practice template)을 제공할 수 있다. 학습 스케줄링부(222)는 학습 데이터량을 충족하는 경우 신규 학습 스케줄로 작성할 수 있다. 예약, 스팟 비용을 적용하여 보다 저렴한 비용을 사용할 수 있다. 학습 스케줄링부(222)는 긴급 모델 요청에 대해 정상 학습 비용을 사용할 수 있다. 상기한 스케줄 유형 중 가장 효율적인 비용의 스케줄을 시뮬레이션할 수 있고, 효율적인 비용의 스케줄링을 위해 학습 카탈로그 추가 또는 집중 모니터링 요청이나 메트릭 세분화를 적용할 수 있다.
학습 스케줄링부(222)는 학습 우선순위와 비용 최적화를 바탕으로 결정된 학습 일정 스케줄에 따라 탐지 카탈로그 셋에 대한 학습 진행을 지시할 수 있다.
도 7은 데이터 학습 단계(S330)의 세부 과정을 도시한 것이다.
데이터 학습 단계(S330)는 학습 데이터 선정, 데이터 학습, 학습 모델링, 모델 등록까지 포함된 학습 전반의 탐지 카탈로그 셋을 구축할 수 있다.
상세하게, 도 7을 참조하면, 데이터 학습부(223)는 탐지 카탈로그 학습을 위한 데이터 셋을 선정할 수 있다(S701). 일례로, 데이터 학습부(223)는 탐지 카탈로그 별 데이터에서 순차적인 일정 기간의 학습 데이터 셋을 선정할 수 있다. 다른 예로, 데이터 학습부(223)는 탐지 카탈로그 별 데이터에서 임의 기간의 학습 데이터 셋을 선정할 수 있다. 또 다른 예로, 데이터 학습부(223)는 혼합 형태로 최근 일정 기간 내에서 임의 기간의 학습 데이터 셋을 선정하는 것 또한 가능하다. 데이터 학습부(223)는 데이터 정확도를 높이기 위해 다양한 유형의 데이터 셋을 선정할 수 있다.
데이터 학습부(223)는 선정된 데이터 셋을 학습에 사용 가능한 형태로 전처리할 수 있다(S702). 데이터 학습부(223)는 데이터 학습이 효과적으로 진행되도록 학습 데이터를 벡터화할 수 있다.
데이터 학습부(223)는 학습 데이터를 이용한 모델링을 통해 탐지 모델을 생성할 수 있다(S703). 데이터 학습부(223)는 비지도 클러스터링을 통해 여러 유형의 데이터 군집을 확인할 수 있으며, 데이터 군집에 대해 여러 유형의 탐지 모델을 발굴하여 여러 건의 탐지 대상 모델을 생성할 수 있다. 이때, 데이터 학습부(223)는 보안 관리자, 생산/판매 전문가, 회개 담당자 등 비즈니스 전문가를 통해 탐지 모델을 검증할 수 있다. 데이터 학습부(223)는 유의미한 모델로 검증이 완료된 탐지 모델에 대해 지도 학습과 연합 학습을 진행할 수 있다. 생성된 모델 데이터를 기반으로 라벨링(labeling)하여 지도 학습을 진행할 수 있고, 다른 데이터로 생성된 모델과의 연합 학습을 진행할 수도 있다.
데이터 학습부(223)는 탐지 모델에 대한 성능 확인 절차를 수행할 수 있다(S704). 이때, 데이터 학습부(223)는 탐지 모델에 대한 반복적인 테스트를 통해 탐지 성능을 검증할 수 있다. 초기에는 보수적인 탐지율(예를 들어, 70%)을 적용하여 탐지 성능을 확인하고 이후 탐지율을 상향 조정해가면서 탐지 모델의 성능을 검증할 수 있다. 데이터 학습부(223)는 탐지 모델에 대한 검증 결과와 함께 사용자가 탐지율을 조정할 수 있도록 탐지율 테스트 정보를 함께 제공할 수 있다.
데이터 학습부(223)는 성능 검증이 완료된 탐지 모델을 라이브러리에 등록할 수 있다(S705). 완성된 탐지 모델의 경우 사용자가 탐지 성능을 조정 가능하도록 인터페이스를 제공할 수 있다. 예를 들어, 탐지율 85%로 검증된 탐지 모델을 사용자가 탐지율을 75%로 조정할 수 있다. 데이터 학습부(223)는 라이브러리에 등록된 모델 중 일정 기간이 경과한 모델에 대해 추가 학습 알림을 제공하여 정기적인 재학습을 진행할 수 있다. 탐지 모델의 성능을 향상시키기 위해 다른 기업 시스템의 정보를 기반으로 생성된 모델을 라이브러리에 등록하여 협력 학습을 진행하는 것 또한 가능하다.
도 8은 이상행위 탐지 단계(S340)의 세부 과정을 도시한 것이다.
이상행위 탐지 단계(S340)는 데이터가 주어지면 라이브러리에 등록된 탐지 모델을 이용하여 이상 데이터를 확인할 수 있다.
상세하게, 도 8을 참조하면, 이상행위 탐지부(224)는 라이브러리에 등록된 탐지 모델을 통해 이상행위를 탐지하여 이상 탐지 결과를 분석할 수 있다(S801). 이상행위는 기업정보시스템에 대한 비정상적인 내부자 이벤트를 의미할 수 있다. 탐지 모델을 통해 이상행위로 분류되는 이상 데이터가 발생하는 경우 이상 탐지 결과에 대한 알림을 이메일이나 SNS 등으로 관리자에게 제공할 수 있다. 이상행위 탐지부(224)는 이상 데이터의 의미를 분석할 수 있으며, 이때 이상행위 발생 전후 이벤트 연계, 사용자 유형, 터미널 연계 등을 분석할 수 있다. 이상행위 탐지부(224)는 이상 발생 원인 데이터를 스냅샷 등을 통해 저장할 수 있다.
이상행위 탐지부(224)는 이상 탐지 결과를 시각화할 수 있다(S802). 이상행위 탐지부(224)는 이상 데이터의 원인을 분석할 수 있도록 날짜, 터미널, 비즈니스 데이터 유형, 프로그램명, 실행로그, 실행자 등을 포함하는 관찰 가능성 기능을 제공할 수 있다. 이상행위 탐지부(224)는 추적(tracing) 형태로 이상 현상이 검출되는 경우 대시보드에서 탑다운(top-down) 방식이나 드래그앤드롭(drag&drop) 방식의 뎁스로 원인을 추적할 수 있는 인터페이스를 제공할 수 있다. 의미 없는 정보에 대한 노이즈를 제거하거나 특정 정보를 필터링하는 기능, 탐지 시간 전후로 탐색 범위를 확장하는 기능 등을 제공할 수 있다.
이상행위 탐지부(224)는 이상 탐지 결과에 따른 오브젝트 ID를 생성하고 생성된 오브젝트 ID를 라이브러리화하여 오브젝트 ID 관리 시스템에 저장함으로써 실시간 이상행위 탐지 서비스에 적용 가능한 형태로 관리할 수 있다(S803). 탐지 모델을 이용한 오브젝트 ID 이외에 관리자는 이미 알려진 오브젝트 ID, 예상 가능한 오브젝트 ID, 타사 사례에 의한 오브젝트 ID 등을 입력할 수 있다.
오브젝트 ID의 원인이 되는 데이터의 원본을 이후 재현 및 재분석 가능하도록 탐지 원인 데이터와 함께 관리할 수 있으며, 이상 탐지 빈도의 주기를 학습하여 이상 탐지의 빈도가 높게 예상되는 기간, 유저, 터미널 등에 대해 집중 모니터링 할 수 있도록 지원할 수 있다.
이상행위 탐지부(224)는 오브젝트 ID의 중요도를 지정하여 우선 탐지하도록 설정 가능하다. 이상행위 탐지부(224)는 일정 기간 탐지가 없는 오브젝트 ID를 생성한 모델의 경우 재학습 기간의 우선순위를 낮추어(학습 주기를 길게 하여) 학습 비용을 최적화하는 한편, 탐지가 자주 일어나는 오브젝트 ID를 생성한 모델은 학습 주기를 짧게 하여 탐지 빈도에 따라 모델의 학습 주기를 결정하는 자료를 제공할 수 있다.
이상행위 탐지부(224)는 오브젝트 ID에 대한 자동 대응 기능을 설정하여 시스템에서 이상행위에 대해 침입 차단, 권한 잠금 등의 조치를 통해 자동으로 대응할 수 있다. 이상행위 탐지부(224)는 오브젝트 ID 탐지 성능이 낮아 너무 많은 이상 탐지 알림이 발생하거나 이상 탐지 알림이 결산, 감사 등과 같은 중요 비즈니스 이벤트와 겹치는 경우 특정 오브젝트 ID를 선정하여 특정 기간, 특정인, 특정 터미널 등에 대해 해당 알림을 일시 정지시킬 수 있다.
이상행위 탐지부(224)는 포렌식 보고서를 자동 생성하거나 오브젝트 ID 간 연계 분석을 제안할 수 있다. 특정 기간(예를 들어, 월, 주 등)에 탐지 내용을 보고하기 위한 포렌식 보고서를 오브젝트 ID, 스냅샷 원본 데이터 등을 기반으로 관리자에게 초안을 제공하고, 관리자의 확인 및 추가 분석 내용 추가로 입력 받아 자동 포렌식 보고서를 생성할 수 있다. 또한, 각 오브젝트 ID의 스냅샷 자료를 비교하여 동일한 원본 데이터에 기반하는 오브젝트 ID를 따로 분류하여 연관성을 검토하도록 관리자에게 가이드할 수 있다.
기업정보시스템 이상행위 탐지 시스템에서는 5가지 유형의 데이터, 즉 원본 데이터, 분류 데이터, 학습 데이터, 전처리 데이터, 라벨드(labeled) 데이터가 생성될 수 있고, 대량의 데이터 관리를 위한 저장 정책을 포함할 수 있다.
원본 데이터와 분류 데이터는 기본적으로 압축하여 저장하고, 요청 시에만 해당 데이터 파일을 압축해제하여 사용할 수 있다. 일정 기간 이상 요청이 없는 데이터는 단계적으로 저렴한 클라우드 스토리지로 이동하여 저장할 수 있다.
학습 데이터는 빠른 학습을 위해 비압축 상태로 저장하여 사용할 수 있다. 학습에 사용된 내역이 일정 기간 이상 없는 학습 데이터의 경우도 마찬가지로 단계적으로 저렴한 클라우드 스토리지로 이동하여 저장할 수 있다.
전처리 데이터와 라벨드 데이터는 비용 효율을 위해 탐지 모델 학습이 완료된 이후 삭제 처리될 수 있다. 전처리 데이터와 라벨드 데이터는 학습 이후 즉시 삭제되는 것이 아니라, 압축하여 저렴함 스토리지로 이동 보관하고 있다가 정해진 시간(예를 들어, 1년)이 경과하는 시점에 관리자 판단 하에 삭제될 수 있다.
실시예에 따라서는 오브젝트 ID 스냅샷 데이터가 생성될 수도 있으며, 오브젝트 ID의 원인이 되는 원본 데이터 탐지 시 해당 이벤트에 대한 빠른 분석을 위해 따로 압축 저장할 수 있고, 분석 완료 후 클라우드 스토리지로 이동하여 저장될 수 있다.
도 9 내지 도 12는 본 발명의 일실시예에 있어서 이상행위 탐지 결과를 시각화하기 위한 사용자 인터페이스 화면의 일례를 도시한 것이다.
본 실시예들은 기업정보시스템에 대한 이상행위 탐지 결과를 원형 궤도와 행성 모형으로 이루어진 우주 공간 형상으로 시각화하는 UI/UX 기술을 포함한다. 일례로, 이상행위 탐지 결과를 시각화하는 과정은 이상행위 탐지부(224)에 의해 수행될 수 있다.
이상행위 탐지부(224)는 기업정보시스템에 대한 이상행위 탐지 현황을 시각화한 대시보드를 제공할 수 있다.
도 9 내지 도 12는 보안 관리자에게 제공되는 대시보드 화면(900)의 예시를 나타내고 있다.
도 9를 참조하면, 대시보드 화면(900)은 카테고리 종합 현황을 나타내는 그래프 영역을 포함하는 것으로, 이상행위 탐지 결과를 카테고리 목록으로 시각화하기 위한 카테고리 목록(910), 및 이상행위 탐지 결과를 우주 궤도 형상으로 시각화하기 위한 탐지 결과 그래프(920)를 포함할 수 있다.
대시보드 화면(900)에는 카테고리 목록(910)에 대한 카테고리 나열 순서를 정렬하기 위한 정렬 버튼(미도시)이 포함될 수 있다. 디폴트로는 시스템에 저장된 카테고리 순으로 카테고리 목록(910)을 정렬하여 보여줄 수 있고, 정렬 버튼을 이용한 선택에 따라 카테고리 목록(910)을 빈도순, 위험도순 등으로 정렬하여 보여줄 수 있다.
카테고리 목록(910)에는 카테고리 별로 각 카테고리의 상세 정보 화면으로 전환하기 위한 카테고리 아이콘(911)이 포함될 수 있다. 카테고리 목록(910)에서는 카테고리 별로 각 카테고리의 이상 탐지 빈도를 막대 그래프(912)와 숫자(913)로 보여줄 수 있고, 조회 기간의 이상 탐지 빈도에 대해 비교 기간 대비 증감 상태(미도시)(예를 들어, 전일 대비 당일, 전월 대비 당월, 전년 대비 당년 증감 여부)를 함께 보여줄 수 있다.
특히, 탐지 결과 그래프(920)에서는 카테고리 별 이상 탐지 빈도와 위험도를 우주 궤도 형상의 그래프로 보여줄 수 있다. 카테고리 각각을 원형 궤도(921)로 표현하고, 이때 카테고리 별로 원형 궤도(921)의 디스플레이 요소(예를 들어, 색상, 패턴 등)를 다르게 구분할 수 있다. 특정 궤도(921)를 선택하는 경우 해당 카테고리의 항목을 확대하여 표시할 수 있다.
또한, 카테고리의 이상 탐지 빈도를 원형 궤도(921)의 크기, 즉 원의 지름으로 구분하여 표현할 수 있으며, 예를 들어 빈도수가 클수록 원형 궤도(921)의 지름을 크게 표현할 수 있다.
원의 지름에 따라 이상 탐지 빈도 범위(예를 들어, 400, 600, 800 등)가 사전에 정의될 수 있으며, 카테고리 각각에 대해 이상 탐지 빈도에 대응되는 원의 지름으로 해당 카테고리의 원형 궤도(921)의 크기가 결정될 수 있다.
그리고, 원형 궤도(921)를 시간 축으로 활용할 수 있으며, 단위 시간 별 이상 탐지 빈도를 도트(dot)와 같은 행성 모형(922)으로 원형 궤도(921) 상에 표현할 수 있다. 단위 시간의 이상 탐지 빈도가 클수록 행성 모형(922)의 크기를 크게 표현하고 작을수록 선에 가깝게 표현할 수 있다.
새로운 이상행위가 탐지됨에 따라 긴급 이상행위 탐지 알림(923)이 발생하는 경우 긴급 이상행위 탐지 알림(923)을 원형 궤도(921)를 벗어난 바깥 영역, 즉 원형 궤도(921)의 밖에 표시할 수 있다. 긴급 이상행위 탐지 알림(923) 또한 행성 모형(922)과 동일한 형상으로 표현될 수 있으며, 탐지된 이상행위의 카테고리에 따라 해당 카테고리의 원형 궤도(921)와 동일한 디스플레이 요소(예를 들어, 색상, 패턴 등)로 표현될 수 있다.
긴급 이상행위 탐지 알림(923)을 나타내는 모형 크기는 위험도나 최근성 등에 따라 결정될 수 있다. 예를 들어, 탐지된 이상행위의 위험레벨이 높을수록 혹은 최근에 탐지된 이상행위일수록 모형 크기를 크게 표현할 수 있다. 최근성의 경우 미확인 상태로 시간이 경과함에 따라 단계적으로 모형 크기를 축소할 수 있다.
동일한 카테고리에 대해 카테고리 목록(910) 상의 막대 그래프(912)와 탐지 결과 그래프(920) 상의 원형 궤도(921), 행성 모형(922), 긴급 이상행위 탐지 알림(923)에 동일한 디스플레이 요소(예를 들어, 색상, 패턴 등)를 적용할 수 있다.
대시보드 화면(900)에서 탐지 결과 그래프(920) 상에 모든 카테고리의 시나리오 종합 그래프를 일괄로 보여줌으로써 카테고리별 혹은 기간별 대략적인 추이나 현황 등을 파악할 수 있다.
카테고리 목록(910)에서 특정 카테고리가 선택되는 경우 도 10에 도시한 바와 같이 선택된 카테고리만이 강조된 확대 화면(1000)을 표시할 수 있다. 카테고리 확대 화면(1000)에서는 카테고리 목록(910)과 탐지 결과 그래프(920)에서 선택 카테고리만이 포커싱되어 강조 표시되고 나머지 카테고리는 딤(dim) 처리될 수 있다. 선택 카테고리의 이상 탐지 빈도를 시나리오 별로 구분하여 표현할 수 있고, 이때 시나리오 별 이상 탐지 현황을 행성 모형(922)으로 표현할 수 있다.
카테고리 확대 화면(1000)에서 특정 시나리오를 선택하거나 마우스 오버하는 경우 도 11에 도시한 바와 같이 해당 시나리오의 요약 정보가 포함된 팝업 화면(1001)이 제공될 수 있다. 시나리오 별 이상 탐지 현황을 행성 모형(922)으로 표현함에 있어 유사도가 높은 시나리오끼리 가까워지는 위치로 이동하면서 포커싱될 수 있다. 시나리오 별 이상 탐지 빈도를 행성 모형(922)의 크기로 구분할 수 있고, 시나리오 간의 유사도를 행성 모형(922)의 거리로 구분할 수 있다. 시나리오 종류를 행성 모형(922)의 색상으로 구분하고 색상 별 시나리오 범례(1002)가 표시될 수 있다.
대시보드 화면(900)이나 카테고리 확대 화면(1000)에서 궤도 밖의 긴급 이상행위 탐지 알림(923)이 선택되는 경우 도 12에 도시한 바와 같이 이상행위 상세 정보가 포함된 팝업 화면(1201)가 제공될 수 있다. 이상행위 상세 정보에는 어떤 경로로 이상행위가 탐지되었는지를 나타내는 위험 감지 정보, 위험 상황에 대처하기 위한 조치 정보 등이 포함될 수 있다. 이상행위 상세 정보에는 이상 탐지 날짜, 시간, 사용자 ID, 터미널 정보 등이 포함될 수 있고, 탐지된 이상행위 속성에 따라 적합한 조치 솔루션을 가이드하거나 사용자의 이전 히스토리 기반으로 조치 솔루션을 가이드할 수 있다.
이처럼 본 발명의 실시예들에 따르면, 기업정보시스템에 대한 이상행위 탐지 결과를 우주 공간 형상으로 표현하되 이상 데이터의 카테고리를 원형 궤도로 구분하고 이상 탐지 빈도를 원형 궤도의 크기로 구분함으로써 카테고리 종합 현황을 더욱 직관적으로 파악할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 컴퓨터 저장 매체 또는 장치에 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 이때, 매체는 컴퓨터로 실행 가능한 프로그램을 계속 저장하거나, 실행 또는 다운로드를 위해 임시 저장하는 것일 수도 있다. 또한, 매체는 단일 또는 수 개의 하드웨어가 결합된 형태의 다양한 기록수단 또는 저장수단일 수 있는데, 어떤 컴퓨터 시스템에 직접 접속되는 매체에 한정되지 않고, 네트워크 상에 분산 존재하는 것일 수도 있다. 매체의 예시로는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등을 포함하여 프로그램 명령어가 저장되도록 구성된 것이 있을 수 있다. 또한, 다른 매체의 예시로, 어플리케이션을 유통하는 앱 스토어나 기타 다양한 소프트웨어를 공급 내지 유통하는 사이트, 서버 등에서 관리하는 기록매체 내지 저장매체도 들 수 있다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (15)

  1. 컴퓨터 시스템에서 수행되는 이상 탐지 결과 시각화 방법에 있어서,
    상기 컴퓨터 시스템이 포함하는 적어도 하나의 프로세서의 의해, 기업정보시스템 로그 기반 데이터를 이용하여 기업정보시스템과 관련된 이상행위를 탐지하는 단계; 및
    상기 적어도 하나의 프로세서의 의해, 이상행위 탐지 현황을 카테고리 별로 구분하여 시각화하는 단계
    를 포함하고,
    상기 시각화하는 단계는,
    상기 카테고리 각각을 원형 궤도로 표현하고 상기 카테고리 별 이상행위 탐지 빈도를 상기 원형 궤도의 크기로 표현하여 상기 이상행위 탐지 현황을 우주 궤도 형상으로 시각화하고,
    상기 카테고리 별로 상기 원형 궤도의 색상을 포함한 디스플레이 요소를 다르게 구분하여 표현하고,
    상기 이상행위가 탐지됨에 따라 이상행위 탐지 알림이 발생하는 경우 상기 이상행위 탐지 알림을 상기 원형 궤도를 벗어난 바깥 영역에 표시하고,
    상기 이상행위 탐지 알림을 나타내는 모형을 상기 이상행위의 카테고리에 따라 해당 카테고리의 원형 궤도와 동일한 디스플레이 요소로 표현하고,
    상기 이상행위의 위험레벨 또는 최근성에 따라 상기 이상행위 탐지 알림을 나타내는 모형의 크기를 결정하여 표현하는 것
    을 특징으로 하는 이상 탐지 결과 시각화 방법.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 제1항에 있어서,
    원의 지름에 따라 이상행위 탐지 빈도 범위가 사전에 정의되어 상기 카테고리 각각에 대해 상기 이상행위 탐지 빈도에 대응되는 원의 지름으로 상기 원형 궤도의 크기가 결정되는 것
    을 특징으로 하는 이상 탐지 결과 시각화 방법.
  6. 제1항에 있어서,
    상기 시각화하는 단계는,
    상기 원형 궤도를 상기 이상행위 탐지 현황에 대한 시간 축으로 사용하는 것
    을 특징으로 하는 이상 탐지 결과 시각화 방법.
  7. 제6항에 있어서,
    상기 시각화하는 단계는,
    단위 시간 별 이상행위 탐지 빈도를 상기 원형 궤도 상의 행성 모형으로 표현하는 것
    을 특징으로 하는 이상 탐지 결과 시각화 방법.
  8. 제7항에 있어서,
    상기 시각화하는 단계는,
    상기 단위 시간의 이상행위 탐지 빈도에 따라 상기 행성 모형의 크기를 다르게 표현하는 것
    을 특징으로 하는 이상 탐지 결과 시각화 방법.
  9. 삭제
  10. 삭제
  11. 제1항에 있어서,
    상기 시각화하는 단계는,
    상기 이상행위 탐지 알림이 선택되는 경우 이상행위 탐지 경로와 이상행위 조치 정보 중 적어도 하나가 포함된 팝업 화면을 표시하는 것
    을 특징으로 하는 이상 탐지 결과 시각화 방법.
  12. 제1항에 있어서,
    상기 시각화하는 단계는,
    상기 카테고리 별 이상행위 탐지 빈도를 막대 그래프로 표현한 카테고리 목록을 표시하는 것
    을 특징으로 하는 이상 탐지 결과 시각화 방법.
  13. 제12항에 있어서,
    상기 시각화하는 단계는,
    상기 카테고리에 따라 상기 막대 그래프와 상기 원형 궤도를 동일한 디스플레이 요소로 표현하는 것
    을 특징으로 하는 이상 탐지 결과 시각화 방법.
  14. 제12항에 있어서,
    상기 시각화하는 단계는,
    상기 카테고리 목록에서 특정 카테고리가 선택되는 경우 상기 카테고리 목록과 상기 원형 궤도에서 상기 선택된 카테고리를 포커싱하여 강조 표시하고 나머지 카테고리를 딤(dim) 처리하는 것
    을 특징으로 하는 이상 탐지 결과 시각화 방법.
  15. 컴퓨터 시스템으로 구현되는 이상 탐지 결과 시각화 시스템에 있어서,
    메모리에 포함된 컴퓨터 판독가능한 명령들을 실행하도록 구성된 적어도 하나의 프로세서
    를 포함하고,
    상기 적어도 하나의 프로세서는,
    기업정보시스템 로그 기반 데이터를 이용하여 기업정보시스템과 관련된 이상행위를 탐지하는 과정; 및
    이상행위 탐지 현황을 카테고리 별로 구분하여 시각화하는 과정
    을 처리하고,
    상기 시각화하는 과정은,
    상기 카테고리 각각을 원형 궤도로 표현하고 상기 카테고리 별 이상행위 탐지 빈도를 상기 원형 궤도의 크기로 표현하여 상기 이상행위 탐지 현황을 우주 궤도 형상으로 시각화하고,
    상기 카테고리 별로 상기 원형 궤도의 색상을 포함한 디스플레이 요소를 다르게 구분하여 표현하고,
    상기 이상행위가 탐지됨에 따라 이상행위 탐지 알림이 발생하는 경우 상기 이상행위 탐지 알림을 상기 원형 궤도를 벗어난 바깥 영역에 표시하고,
    상기 이상행위 탐지 알림을 나타내는 모형을 상기 이상행위의 카테고리에 따라 해당 카테고리의 원형 궤도와 동일한 디스플레이 요소로 표현하고,
    상기 이상행위의 위험레벨 또는 최근성에 따라 상기 이상행위 탐지 알림을 나타내는 모형의 크기를 결정하여 표현하는 것
    을 특징으로 하는 이상 탐지 결과 시각화 시스템.
KR1020210099147A 2021-07-28 2021-07-28 기업정보시스템에 대한 이상행위 탐지 결과를 우주 궤도 형상으로 시각화하는 방법 및 시스템 KR102370858B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210099147A KR102370858B1 (ko) 2021-07-28 2021-07-28 기업정보시스템에 대한 이상행위 탐지 결과를 우주 궤도 형상으로 시각화하는 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210099147A KR102370858B1 (ko) 2021-07-28 2021-07-28 기업정보시스템에 대한 이상행위 탐지 결과를 우주 궤도 형상으로 시각화하는 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR102370858B1 true KR102370858B1 (ko) 2022-03-07

Family

ID=80817400

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210099147A KR102370858B1 (ko) 2021-07-28 2021-07-28 기업정보시스템에 대한 이상행위 탐지 결과를 우주 궤도 형상으로 시각화하는 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR102370858B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100758796B1 (ko) * 2004-08-02 2007-09-14 주식회사 케이티 기업용 실시간 서비스 관리 시스템 및 그 방법
KR101221757B1 (ko) * 2011-01-25 2013-01-11 세종대학교산학협력단 Olap 시스템에서의 의사결정나무 기법을 이용한 3차원 규칙 모델 생성 방법 및 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100758796B1 (ko) * 2004-08-02 2007-09-14 주식회사 케이티 기업용 실시간 서비스 관리 시스템 및 그 방법
KR101221757B1 (ko) * 2011-01-25 2013-01-11 세종대학교산학협력단 Olap 시스템에서의 의사결정나무 기법을 이용한 3차원 규칙 모델 생성 방법 및 시스템

Similar Documents

Publication Publication Date Title
US11283900B2 (en) Enterprise performance and capacity testing
US11870558B1 (en) Identification of related event groups for IT service monitoring system
US11875032B1 (en) Detecting anomalies in key performance indicator values
US11526511B1 (en) Monitoring interface for information technology environment
US10025659B2 (en) System and method for batch monitoring of performance data
US11314576B2 (en) System and method for automating fault detection in multi-tenant environments
US11586972B2 (en) Tool-specific alerting rules based on abnormal and normal patterns obtained from history logs
US11902316B2 (en) Real-time cybersecurity status system with event ticker
US20210313056A1 (en) System and method for visual analysis of event sequences
US8966392B2 (en) Event management apparatus, systems, and methods
US11671312B2 (en) Service detail monitoring console
US20180114126A1 (en) Systems and methods for identifying process flows from log files and visualizing the flow
US9590880B2 (en) Dynamic collection analysis and reporting of telemetry data
US20200112624A1 (en) Enterprise health score and data migration
US20160344762A1 (en) Method and system for aggregating and ranking of security event-based data
US20110270794A1 (en) Adaptive business process automation
US11042525B2 (en) Extracting and labeling custom information from log messages
CN108874487B (zh) 基于工作流的数据分析处理方法、系统、装置及存储介质
US11070582B1 (en) Cloud-based cybersecurity portal with vulnerability data management
KR102359090B1 (ko) 실시간 기업정보시스템 이상행위 탐지 서비스를 제공하는 방법과 시스템
US9804916B2 (en) Integrated production support
US11880360B2 (en) Transforming data in DevOps landscape
US20230269272A1 (en) System and method for implementing an artificial intelligence security platform
KR102346885B1 (ko) 기업정보시스템에 대한 이상행위 탐지 결과를 개화 줄기 형상으로 시각화하는 방법 및 시스템
KR102370858B1 (ko) 기업정보시스템에 대한 이상행위 탐지 결과를 우주 궤도 형상으로 시각화하는 방법 및 시스템

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant