KR102410151B1 - 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체 - Google Patents

서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체 Download PDF

Info

Publication number
KR102410151B1
KR102410151B1 KR1020210174671A KR20210174671A KR102410151B1 KR 102410151 B1 KR102410151 B1 KR 102410151B1 KR 1020210174671 A KR1020210174671 A KR 1020210174671A KR 20210174671 A KR20210174671 A KR 20210174671A KR 102410151 B1 KR102410151 B1 KR 102410151B1
Authority
KR
South Korea
Prior art keywords
log
level
risk
abnormal behavior
detected
Prior art date
Application number
KR1020210174671A
Other languages
English (en)
Inventor
이기욱
이종화
Original Assignee
에스지에이솔루션즈 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스지에이솔루션즈 주식회사 filed Critical 에스지에이솔루션즈 주식회사
Priority to KR1020210174671A priority Critical patent/KR102410151B1/ko
Priority to PCT/KR2021/019475 priority patent/WO2023106504A1/ko
Application granted granted Critical
Publication of KR102410151B1 publication Critical patent/KR102410151B1/ko
Priority to US17/870,000 priority patent/US20230177152A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/182Distributed file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/40Data acquisition and logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Quality & Reliability (AREA)

Abstract

본 발명은 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 방법 및 이를 이용한 위험도 산출 장치에 관련된 것으로서, 구체적으로는, 로그 수집 서버가 서버 시스템에서 발생한 로그를 수집하고, 수집된 로그를 가공하여 유형별로 분류된 로그 파일로 저장하는 로그 전처리 단계; 로그 전처리 단계에서 저장한 로그 파일을 하둡분산파일시스템에 저장하기 위해 로그 파일의 데이터를 가공하고, 가공된 로그 파일을 빅데이터 저장소에 연동하는 로그 파일 연동 단계; 로그 분석 서버는 빅데이터 저장소와 통신하여, 로그 수집 서버가 수집한 원시 로그의 조회를 요청하고, 조회된 원시 로그에서 정상 행위에 대한 피쳐값을 추출하는 피쳐값 추출 단계; 추출된 피쳐값을 정규화하여 정상 행위에 대한 베이스라인 값을 레벨링하고, 레벨링된 베이스라인 값을 기반으로 머신러닝 모델을 학습시키는 모델 학습 단계; 및, 학습된 머신러닝 모델을 데이터베이스에 저장한 뒤, 레벨링된 베이스라인 값에 위배되는 로그가 감지될 시, 비정상 행위가 탐지된 것으로 판단하여, 탐지된 비정상 행위에 대한 위험도를 산출하는 위험도 산출 단계;를 포함하는 것을 특징으로 한다.

Description

서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체{METHOD, APPARATUS AND COMPUTER-READABLE MEDIUM FOR MACHINE LEARNING BASED OBSERVATION LEVEL MEASUREMENT USING SERVER SYSTEM LOG AND RISK CALCULATION USING THEREOF}
본 발명은 최근 악성 코드 또는 행위 기반의 보안 위협들이 고도화 및 지능화됨에 따라, 이런 지능화된 보안 위협에 대해 프로파일링화하고, 프로파일링된 보안 위협의 위험도를 식별하여 최적의 대응이 수행되도록 하고, 이를 통해 보안 위협이 보안 사고로 이어지는 것을 저지하며, 보안 사고의 피해 규모가 확대되는 것을 방지하는 기술을 제공하는 것과 관련된 것이다.
일반적으로 컴퓨터에서 사용되는 대부분의 운영체제 또는 애플리케이션들은 시스템의 현재 상황을 로그와 정보의 형태로 저장매체에 저장한다.
이러한 로그 파일은 운영체제 또는 애플리케이션이 실행되는 과정, 즉 진행 상황을 기록하여 문제가 발생하였을 때 원인을 파악할 수 있는 근거로 활용될 수 있는데, 과거에는 관리하는 애플리케이션이 복수 개인 경우, 운영자가 오프라인 상에서 직접 애플리케이션이 설치된 장치마다 저장된 로그 파일을 확인하여 문제의 원인을 확인하여야만 했기에, 문제 파악 및 해결에 상당한 시간이 소요된다는 문제가 있었다.
이에 한국 등록 특허 제10-1357135호에서는 로그 정보 수집 장치를 개시함으로써, 복수의 애플리케이션으로부터 구동 과정에 발생한 로그 정보를 수집하고, 수집된 로그 정보에 다른 프레임워크 또는 데이터 사이즈에 근거하여 연계된 DB로 동기화하여 장애가 발생하는 경우, 해당 로그 정보를 바로 확인하여 문제의 원인을 파악할 수 있도록 하는 기술이 제시된 바 있다.
그러나, 최근에는 이종의 장비에서 로그 파일을 수집하는 것에서 더 나아가, 대량의 이벤트와 로그를 자동으로 모니터링하여 보안 위협 상황을 신속히 탐지하고자 하는 이슈 및, 다변화하는 APT(Advanced Persistent Threats)에 효과적으로 대응할 수 있으면서도, 변화하는 내부의 네트워크 환경에 대응하여 오탐률을 효과적으로 줄이고자 하는 기술적 이슈에 관심이 집중되고 있다.
본 발명에서는 최근 악성 코드 또는 행위 기반의 보안 위협들이 고도화 및 지능화됨에 따라, 보안 위협의 위험도를 탐지하기 위한 기법 중에 프로파일링 기법을 통해 보안 위협을 식별하여 최적의 대응이 수행되도록 하고, 이를 통해 보안 위협이 보안 사고로 이어지는 것을 저지하고, 보안 사고의 피해 규모가 확대되는 것을 방지하는 기술을 제공하는 것에 그 목적이 있다.
상술한 목적을 달성하기 위한 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이상의 메모리를 포함하는 컴퓨팅 장치에서 구현되는 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법은, 로그 수집 서버가 서버 시스템에서 발생한 로그를 수집하고, 수집된 로그를 가공하여 유형별로 분류된 로그 파일로 저장하는 로그 전처리 단계; 로그 전처리 단계에서 저장한 로그 파일을 하둡분산파일시스템에 저장하기 위해 로그 파일의 데이터를 가공하고, 가공된 로그 파일을 빅데이터 저장소에 연동하는 로그 파일 연동 단계; 로그 분석 서버는 빅데이터 저장소와 통신하여, 로그 수집 서버가 수집한 원시 로그의 조회를 요청하고, 조회된 원시 로그에서 정상 행위에 대한 피쳐값을 추출하는 피쳐값 추출 단계; 추출된 피쳐값을 정규화하여 정상 행위에 대한 베이스라인 값을 레벨링하고, 레벨링된 베이스라인 값을 기반으로 머신러닝 모델을 학습시키는 모델 학습 단계; 및, 학습된 머신러닝 모델을 데이터베이스에 저장한 뒤, 레벨링된 베이스라인 값에 위배되는 로그가 감지될 시, 비정상 행위가 탐지된 것으로 판단하여, 탐지된 비정상 행위에 대한 위험도를 산출하는 위험도 산출 단계;를 포함하는 것을 특징으로 한다.
상술한 피쳐값 추출 단계의 수행 시, 로그 분석 서버는, 기 설정된 주기마다 로그 수집 서버가 수집한 원시 로그의 조회를 요청함으로써, 기 설정된 주기에 대응되는 피쳐값의 갱신이 수행되도록 하는 것이 바람직하다.
또한 상술한 모델 학습 단계는, 하둡분산파일시스템에 저장된 로그 파일을 오픈 소스를 이용하여 레벨링하되, 레벨링 수행 시, 시간별, 일별, 주별 및 월별 중 적어도 어느 하나를 포함하는 단위 시간을 주기로 유형별 로그의 발생량에 대한 베이스라인 값을 n개의 레벨 데이터로 쿼리하는 것이 바람직하다.
또한 상술한 위험도 산출 단계는, 오픈 소스를 이용하여 비정상 행위가 탐지된 로그를 레벨링하여 관측 레벨이 산출되도록 하고, 산출된 관측 레벨을, n개의 레벨 데이터로 쿼리된 예측 레벨과 비교하여 비정상 행위에 대한 위험도가 산출되도록 하는 것이 바람직하다.
또한 상술한 위험도 산출 단계는, 관측 레벨과 상기 예측 레벨을 조회하여, 관측 레벨의 평균값과 예측 레벨의 평균값의 오차를 연산함으로써, 비정상 행위에 대한 위험도를 산출하는 것이 바람직하다.
또한 상술한 비정상 행위에 대한 위험도는, 관측 레벨의 평균값과 예측 레벨의 평균값의 오차가 0 미만이면 주의(Caution), 0 초과 15 미만이면 위험(Danger), 15 초과 25 미만이면 위기(Critical)인 것으로 정의되어, 오차 발생량에 따른 위험도가 안내되도록 하는 것이 바람직하다.
또한 상술한 위험도 산출 단계는, 서버 시스템에 대한 비정상 행위가 탐지될 경우, 보안 커널에 의해 상기 서버 시스템 내에서의 이상 프로세스 실행 행위, 중요 파일의 접근 행위 및 위험 명령어 실행 행위 중 적어도 어느 하나를 포함하는 행위에 대한 접근을 통제하는 것이 바람직하다.
또한 상술한 위험도 산출 단계는, 비정상 행위에 대한 위험도 산출 결과에 따른 경고 데이터를 생성하여 생성된 경고 데이터를 하나 이상의 관제 단말에 리포팅하는 것이 바람직하다.
한편, 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이상의 메모리를 포함하는 컴퓨팅 장치에서 구현되는 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 장치는, 로그 수집 서버가 서버 시스템에서 발생한 로그를 수집하고, 수집된 로그를 가공하여 유형별로 분류된 로그 파일로 저장하는 로그 전처리부; 로그 전처리부에서 저장한 로그 파일을 하둡분산파일시스템에 저장하기 위해 로그 파일의 데이터를 가공하고, 가공된 로그 파일을 빅데이터 저장소에 연동하는 로그 파일 연동부; 로그 분석 서버는 빅데이터 저장소와 통신하여, 로그 수집 서버가 수집한 원시 로그의 조회를 요청하고, 조회된 원시 로그에서 정상 행위에 대한 피쳐값을 추출하는 피쳐값 추출부; 추출된 피쳐값을 정규화하여 정상 행위에 대한 베이스라인 값을 레벨링하고, 레벨링된 베이스라인 값을 기반으로 머신러닝 모델을 학습시키는 모델 학습부; 및, 학습된 머신러닝 모델을 데이터베이스에 저장한 뒤, 레벨링된 베이스라인 값에 위배되는 로그가 감지될 시, 비정상 행위가 탐지된 것으로 판단하여, 탐지된 비정상 행위에 대한 위험도를 산출하는 위험도 산출부;를 포함하는 것을 특징으로 한다.
또 다른 한편, 컴퓨터-판독 가능 기록 매체로서, 상기 컴퓨터-판독 가능 기록 매체는, 컴퓨팅 장치로 하여금 이하의 단계들을 수행하도록 하는 명령들을 저장하며, 상기 단계들은: 로그 수집 서버가 서버 시스템에서 발생한 로그를 수집하고, 수집된 로그를 가공하여 유형별로 분류된 로그 파일로 저장하는 로그 전처리 단계; 로그 전처리 단계에서 저장한 로그 파일을 하둡분산파일시스템에 저장하기 위해 로그 파일의 데이터를 가공하고, 가공된 로그 파일을 빅데이터 저장소에 연동하는 로그 파일 연동 단계; 로그 분석 서버는 빅데이터 저장소와 통신하여, 로그 수집 서버가 수집한 원시 로그의 조회를 요청하고, 조회된 원시 로그에서 정상 행위에 대한 피쳐값을 추출하는 피쳐값 추출 단계; 추출된 피쳐값을 정규화하여 정상 행위에 대한 베이스라인 값을 레벨링하고, 레벨링된 베이스라인 값을 기반으로 머신러닝 모델을 학습시키는 모델 학습 단계; 및, 학습된 머신러닝 모델을 데이터베이스에 저장한 뒤, 레벨링된 베이스라인 값에 위배되는 로그가 감지될 시, 비정상 행위가 탐지된 것으로 판단하여, 탐지된 비정상 행위에 대한 위험도를 산출하는 위험도 산출 단계;를 포함하는 것을 특징으로 한다.
본 발명의 일 실시 예에 따르면, 최근 악성 코드 또는 행위 기반의 보안 위협들이 고도화 및 지능화됨에 따라, 보안 위협의 위험도를 탐지하기 위한 기법 중에 프로파일링 기법을 통해 보안 위협을 식별하여 최적의 대응이 수행되도록 하고, 이를 통해 보안 위협이 보안 사고로 이어지는 것을 저지하고, 보안 사고의 피해 규모가 확대되는 것을 방지하는 효과가 있다.
또한, 본 발명의 일 실시 예에 따르면, 대량으로 발생하는 로그를 수집하고 학습하여 별도의 임계치 설정 없이도, 로그의 유형과 로그의 발생량에 따라 자동화된 베이스라인 값을 통해 비정상 행위를 구분하여 보안 위협을 탐지하고 이에 따른 위험도를 판단할 수 있게 하는 효과가 있다.
또한, 본 발명의 일 실시 예에 따르면, 보안 관리자 중심으로 수행되던 기존의 보안 관리, 침해 사고 대응 관련 절차를 자동화하여, 관리자의 역량에 의지하지 않으면서, 보편적인 침해 시도 탐지 수준을 향상시키는 효과가 있다.
또한, 본 발명의 일 실시 예에 따르면, 대량의 로그 데이터를 처리함에 있어서 성능 지연을 최소화하고, 초기 구축 비용이 높지 않으면서, 차후 로그 데이터의 증가에 따른 확장이 용이한 보안 솔루션을 제공하는 효과가 있다.
도 1은 본 발명의 일 실시 예에 따른 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법을 흐름도로 나타낸 도면.
도 2는 본 발명의 일 실시 예에 따라 각 서버단의 주요 구성 및 주요 구성에서 수행되는 기능을 블록도로 나타낸 도면.
도 3은 본 발명의 일 실시 예에 따른 위험도 산출 과정의 논리 예.
도 4는 본 발명의 일 실시 예에 베이스라인의 학습에 필요한 레벨 데이터의 정의 예.
도 5는 본 발명의 일 실시 예에 따라 머신러닝 모델이 학습 데이터에 의해 업데이트 되는 예를 테이블로 나타낸 도면.
도 6 내지 8은 본 발명의 일 실시 예에 따라 관측 레벨 및 예측 레벨의 오차에 따라 비정상 행위로 탐지된 로그 데이터를 나타낸 예.
도 9는 본 발명의 일 실시 예에 따른 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 장치의 구성도.
도 10은 본 발명의 일 실시 예에 따른 컴퓨팅 장치의 내부 구성의 예.
이하에서는, 다양한 실시 예들 및/또는 양상들이 이제 도면들을 참조하여 개시된다. 하기 설명에서는 설명을 목적으로, 하나이상의 양상들의 전반적 이해를 돕기 위해 다수의 구체적인 세부사항들이 개시된다. 그러나, 이러한 양상(들)은 이러한 구체적인 세부사항들 없이도 실행될 수 있다는 점 또한 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 인식될 수 있을 것이다. 이후의 기재 및 첨부된 도면들은 하나 이상의 양상들의 특정한 예시적인 양상들을 상세하게 기술한다. 하지만, 이러한 양상들은 예시적인 것이고 다양한 양상들의 원리들에서의 다양한 방법들 중 일부가 이용될 수 있으며, 기술되는 설명들은 그러한 양상들 및 그들의 균등물들을 모두 포함하고자 하는 의도이다.
본 명세서에서 사용되는 "실시 예", "예", "양상", "예시" 등은 기술되는 임의의 양상 또는 설계가 다른 양상 또는 설계들보다 양호하다거나, 이점이 있는 것으로 해석되지 않을 수도 있다.
또한, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다.
또한, 제 1, 제 2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
또한, 본 발명의 실시 예들에서, 별도로 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 발명의 실시 예에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
본 발명은 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법에 관련된 것이다.
구체적으로 본 발명은 최근 악성 코드 또는 행위 기반의 보안 위협들이 고도화 및 지능화됨에 따라, 보안 위협의 위험도를 탐지하기 위한 기법 중에 프로파일링 기법을 통해 보안 위협을 식별하여 최적의 대응이 수행되도록 하고, 이를 통해 보안 위협이 보안 사고로 이어지는 것을 저지하고, 보안 사고의 피해 규모가 확대되는 것을 방지하는 기술을 제공하는 것을 주 목적으로 한다.
한편 이하에서는 상기 목적을 달성하기 위한 본 발명에 대한 구체적인 설명을 첨부된 도면을 참조하여 설명하기로 하고, 하나 이상의 기술적 특징 또는 발명을 구성하는 구성 요소를 설명하기 위하여 다수의 도면이 동시 참조될 수 있을 것이다.
도 1을 참조하여 보면 도 1에서는 본 발명의 일 실시 예에 따른 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법에 대한 흐름도가 도시되어 있음을 알 수 있다.
먼저 본 발명에서는, 로그 수집 서버가 서버 시스템에서 발생한 로그를 수집하고, 수집된 로그를 가공하여 유형별로 분류된 로그 파일로 저장하는 로그 전처리 단계(S10)가 수행될 수 있다.
구체적으로 상술한 S10 단계의 로그 수집 서버는, 웹 또는 애플리케이션 등에서 사용자가 행한 행위 정보가 시간의 흐름에 따라 로그로 기록되는데, 이를 수집하여 가공된 형태로 제공될 수 있게 하는 서브 시스템의 개념으로 이해될 수 있다.
이때, 상술한 S10 단계에서는 전술한 바와 같이 수집된 로그를 가공하여, 유형별로 분류된 로그 파일로 저장하게 되는데, 이는 비정형 데이터인 로그 데이터를 정해진 형식과 구조에 따라 저장되도록 하는 정형화 처리가 수행되도록 함으로써, 후술할 보안 위협 등을 비롯한 비정상 행위의 탐지를 위한 질의 처리가 원활히 수행될 수 있도록 구조화하는 것으로 이해될 수 있다.
예를 들어 로그 파일은 고정된 컬럼, 지정된 행과 열로 데이터의 속성이 정해져 있는 스프레드시트 데이터, 콤마 구조로 결정되는 CSV데이터 중 적어도 어느 하나를 포함하는 데이터로 정형화될 수 있을 것이다.
한편 상술한 S10 단계의 수행 후에는, S10 단계에서 저장한 로그 파일을 하둡분산파일시스템(HDFS, Hadoop Distributed File System)에 저장하기 위해 기 저장된 로그 파일의 데이터를 가공하고, 가공된 로그 파일을 빅데이터 저장소에 연동하는 로그 파일 연동 단계(S20)가 수행되게 된다.
이때, 상술한 하둡분산파일시스템이란, 대용량 데이터 분석 처리를 위한 호픈 소스 프레임워크로서, 다수의 리눅스 서버에 설치되어 운영되며, 뛰어난 확장성으로 페타바이트 이상의 대용량 데이터 저장 공간을 확보할 수 있다. 특히 하둡분산파일시스템은 여러 대의 서버가 동시에 데이터를 분산 처리하여 대규모 데이터 처리 속도가 빠르다는 장점이 있으며, 리눅스 장비를 사용함으로써, 고가의 장비를 사용하는 관계형 데이터베이스 관리 시스템(RDBNMS)에 비해 저렴한 비용으로 시스템 구축이 가능하다는 효과가 있다.
한편 본 발명에서는 상술한 하둡분산파일시스템을 통해 로그 파일의 모든 메타 데이터를 네임노드로 관리하고, 이러한 네임노드의 하위에는 블록 단위로 나뉜 데이터가 저장된 다수의 데이터노드가 구성되도록 하여, 네임노드와 클라이언트의 데이터 입출력 요청을 관리하도록 기능할 수 있다.
또한 본 발명에서는 하둡분산파일시스템에 분산 저장된 로그 파일을 빅데이터 저장소에 연동하게 되는데, 이는 로그 분석 시, 성능 지연의 문제를 개선하기 위한 목적인 것으로, 하둡분산파일시스템과 빅데이터 저장소를 연동 시켜 분석 대상 로그를 로드할 때, 하둡분산파일시스템에서 로드하는 것이 아니라, 빅데이터 저장소에 연동된 로그 데이터가 로드되도록 함으로써 빅데이터 저장소 특유의 빠른 처리 속도에 기반하여 성능 지연 문제를 해소할 수 있기 때문인 것으로 이해될 수 있다.
한편 상술한 S20 단계의 수행 후에는 로그 분석 서버가 빅데이터 저장소와 통신하여 로그 수집 서버가 수집한 원시 로그의 조회를 요청하고, 조회된 원시 로그에서 정상 행위에 대한 피쳐값을 추출하는 피쳐값 추출 단계(S30)가 수행될 수 있다.
이때 상술한 원시 로그는, 서버 시스템에서 전송되는 로그의 원본 로그로서, 가공되지 않은 로그를 의미하며, 원시 로그에서 추출된 피쳐값은 추후 분석 대상 로그와 비교하여 비정상 행위가 감지되는지 여부를 모니터링하는데 이용될 수 있을 것이다.
또한 상술한 S30 단계의 수행 시, 로그 분석 서버는 기 설정된 주기(예를 들어, 1일 단위, 1주일 단위 및, 1개월 단위 등)마다 로그 수집 서버가 수집한 원시 로그의 조회를 요청하여, 기 설정된 주기에 대응되는 피쳐값의 갱신이 수행되도록 하여, 주기적으로 후술할 머신러닝 모델에 대한 학습 데이터가 갱신되도록 하여 후술할 머신러닝 모델의 고도화를 도모하도록 함이 바람직할 것이다.
한 실시 예로서, 도 5의 1100에는 주말을 제외한 평일에 24시간 단위로 피쳐값을 조회 및 학습하여, 머신러닝 모델을 갱신하는 학습 데이터가 생성된 예를 살펴볼 수 있다.
또한 머신러닝 모델의 갱신에 이용되는 학습 데이터는 단위 주기 동안 수집된 로그의 종류 및 로그의 발생량에 따라 베이스라인 값이 달라질 수 있어, 단위 시간 주기에 따라 서로 다른 학습 데이터로 머신 러닝 모델을 학습 시킬 수 있을 것이며, 본 발명은 이에 제한하지 않는다.
다시 도 1로 돌아와서 설명을 이어가면, 상술한 S30 단계의 수행 후에는, 추출된 피쳐값을 정규화하여 정상 행위에 대한 베이스라인 값을 레벨링하고, 레벨링된 베이스라인 값을 기반으로 머신러닝 모델을 학습시키는 모델 학습 단계(S40)가 수행된다.
구체적으로 S40 단계에서는, 추출된 피쳐값을 정규화하여 정상 행위에 대한 베이스라인 값을 머신 러닝 모델에 학습시킴으로써, 머신러닝 모델을 로그의 유형 및 발생량에 따라 자동화된 베이스라인 값을 도출하게 하는 학습이 수행될 수 있다.
한편 S40 단계에서 머신러닝 모델의 학습은 로지스틱 회귀(Logistic regression)분류기에 기반하여 확률을 계산하고, 이를 토대로 분류를 진행하여 정상 행위에 대한 베이스라인 값을 레벨링하는 것으로 이해될 수 있을 것이며, 이러한 로지스틱 회귀 분석은 이항 범주형 데이터 분석에서 높은 정확도와 유연성을 로지스틱 회귀 분석은 이항 범주형 데이터의 분석에서 높은 정확도와 유연성을 가져 활용도가 높다.
또한 바람직하게, 상술한 S40 단계는, 하둡분산파일시스템에 저장된 로그 파일을 별도 준비된 오픈 소스를 이용하여 레벨링할 수 있고, 레벨링 수행 시, 시간별, 일별, 주별 및 월별 중 적어도 어느 하나를 포함하는 단위 시간을 주기로 유형별 로그의 발생량에 대한 베이스라인 값을 n개로 정의된 레벨 데이터에서 쿼리하는 것이다.
한 실시 예로서, 도 4의 1000에서는 베이스라인 값의 학습에 필요한 피쳐값이 30개의 4개 타입으로 정의되어 있는 예를 살펴볼 수 있다.
특히 본 발명에서는 실제 로그의 피쳐값을 기반으로 머신러닝 모델의 학습이 이루어지고, 주기적으로 학습 모델의 갱신이 자동 수행되기 때문에 과거 통계적 기반의 고정적 임계치가 설정됨으로써, 새로운 형태로 출현하는 비정상 행위를 탐지하지 못하였던 문제를 해소할 수 있다는 효과가 있다.
또한 본 발명의 S40 단계는, 수동적 경험치가 아닌 머신러닝 학습을 통해 자동으로 학습된 베이스라인 값을 기반으로 보안 위협 등의 비정상 행위를 탐지할 수 있으므로, 다변화하는 비정상 행위의 탐지가 용이하다.
한편 상술한 S40 단계의 수행 후에는 학습된 머신러닝 모델을 데이터베이스에 등록한 뒤, 분석 대상 로그에서 레벨링된 베이스라인 값에 위배되는 로그가 감지될 시, 비정상 행위가 탐지된 것으로 판단하여, 탐지된 비정상 행위에 대한 위험도를 산출하는 위험도 산출 단계(S50)가 수행된다.
이때, 상술한 S50 단계는, 베이스라인 값을 위배, 즉 베이스라인 값에 속하지 않는 로그가 감지되는 경우를 비정상 행위가 탐지된 것으로 판단하여, 알려지지 않은 신종 및, 변종 비정상 행위에 대한 탐지가 용이하다.
바람직하게 상술한 S50 단계에서는 오픈 소스를 이용하여 비정상 행위가 탐지된 로그를 레벨링하여 관측 레벨이 산출되도록 하는데, 산출된 관측 레벨을 n개로 정의된 레벨 데이터에서 쿼리한 예측 레벨과 비교하여 비정상 행위에 대한 위험도가 산출될 수 있다.
이때 S50 단계에서는, 관측 레벨과 예측 레벨을 조회하여, 관측 레벨의 평균값과 예측 레벨의 평균값의 오차를 연산함으로써 비정상 행위에 대한 위험도를 산출하게 되는데, 이에 대한 더욱 상세한 설명을 위하여 도 3의 위험도 산출 과정 논리가 도시된 흐름도를 동시 참조하기로 한다.
도 3를 참조하면, S1 단계에서 기 설정된 단위 시간 주기에 도달한 것으로 판단될 시, S2 단계가 수행되어 분석 대상 로그의 피쳐값을 추출한다. 이때 추출된 피쳐값으로부터 분석 대상 로그에 대한 관측 레벨과 예측 레벨을 각각 산출하는 S3 단계가 수행되고, 산출된 관측 레벨에서 예측 레벨을 뺀 값을 연산하는 S4 단계가 수행되게 된다.
한편 본 발명에서는 관측 레벨에서 예측 레벨을 뺀 값에 대한 오차로부터 비정상 행위에 대한 위험도를 S41 내지 S43 단계의 연속 수행으로 판단할 수 있다.
구체적으로, 오차 x가 0보다 작으면 주의 단계(S431), 오차 x가 0보다 크고 15보다 작으면 위험 단계(S421), 오차 x가 15보다 크고 25보다 작으면 위기 단계(S411)인 것으로 위험도를 산정할 수 있는 것이다.
또한 이에 더 나아가, 본 발명에서는 S411, S421, S431 단계에서의 위험도 산정 결과에 따라 경고 데이터를 생성하여 제공하도록 하는 S5 단계가 수행될 수 있다.
이때 상술한 경고 데이터라 함은, 비정상 행위에 대한 위험도 산출 결과를 포함하는 데이터로서, 비정상 행위가 탐지된 로그의 출처, 시간 정보 등을 포함하는 데이터인 것으로 이해될 수 있다.
한편 이러한 경고 데이터는 보안 관리자 단말을 비롯한 하나 이상의 관제 단말에 리포팅될 수도 있을 것이다.
한편 본 발명의 다른 실시 예에서는, 도 3의 S5 단계에서, 서버 시스템에 대한비정상 행위가 탐지되는 즉시, 보안 커널에 의해 서버 시스템 내에서의 이상 프로세스의 실행 행위, 중요 파일의 접근 행위 및 위험 명령어 실행 행위 중 적어도 어느 하나를 포함하는 행위에 대한 접근을 통제하도록 하는 기능이 수행되도록 할 수도 있는데, 이는 보안 관리자가 부재하거나, 또는 보안 관리자의 역량에 의지할 필요 없이 자동적으로 탐지된 비정상 행위의 수행을 통제할 수 있게 함으로써 더욱 정교한 보안 솔루션을 제공하는 효과가 있다.
또한 본 발명의 다른 실시 예에서는, 전술한 경고 데이터에 포함된 비정상 행위를 프로파일링하고, 프로파일링된 비정상 행위에 대응되는 로그가 탐지될 때 비정상 의심 행위로 추출하여, 비정상 행위가 더욱 신속히 탐지되도록 하면서 비정상 행위에 대한 대응 정책의 체계화를 도모할 수도 있을 것이며, 본 발명은 이에 제한하지 않는다.
한편 도 3을 참조하여 보면, 로그 수집부터 경고 데이터의 발생까지의 프로세스를 한 눈에 살펴볼 수 있는 블록도가 도시되어 있다.
즉 본 발명에서는 로그가 수집되면, 정규화가 수행되도록 하여 비정형 상태의 로그를 정형화하고, 정상 행위에 대한 피쳐값을 추출하여, 관측 레벨과 예측 레벨을 정의하게 된다.
이어서 도 2를 참조하여 보면 도 2에서는 이상에서 설명한 본 발명을 로그 수집 서버(A) 및 로그 분석 서버(B)의 측면에서 살펴본 블록도로 도시하고, 각 서버의 데이터 처리 프로세스를 도시하였다.
개략적으로 살펴보면, 로그 수집 서버(A)에서는 서버 시스템에서 로그를 수집하고, 수집된 로그를 가공하며, 가공된 로그를 분산데이터시스템에 저장하여 정형화된 로그 파일을 생성하는 기능이 수행되고, 생성된 로그 파일을 빅데이터 저장소(100)에 연동되게 하여 로그 분석 서버(B)와 공유한다.
이때, 로그 분석 서버(B)는, 빅데이터 저장소(100)와 통신하여, 정상 행위에 대한 원시 로그를 조회하여 피쳐값을 추출하고 추출된 피쳐값을 정규화하여 레벨링하고, 레벨링된 데이터셋을 머신러닝 모델에 학습시킴으로써 로그의 유형별 정상 행위에 대한 베이스라인 기준이 설정되게 된다.
이어서, 로그 분석 서버(B)에서 분석 대상 로그의 위험도 산출은, 분석 대상 로그의 원시 데이터를 기 저장된 정상 행위에 대한 원시 데이터가 학습된 머신러닝 모델에 적용하여, 오차를 비교함으로써 분석 대상 로그가 보안 위협이 존재하는 비정상 행위에 대한 로그값인지 여부를 판단하며, 분석 대상 로그에 대해 산출된 관측 레벨 및 예측 레벨로부터 위험도를 산출하는 기능이 수행되게 된다.
이때, 상술한 분석 대상 로그에 대한 보안 위협이 감지되어, 위험도가 산정된 경우, 본 발명에서는 비정상 행위가 탐지된 로그를 저장하여 경고 데이터를 송출하거나, 비정상 행위에 대한 대응 정책 수립을 위한 기초 자료로 활용할 수 있다.
한편 도 6 내지 8에 도시된 1200, 1210 및 1220의 실시 예는 데이터베이스에 저장되는 레벨링된 베이스라인 값의 데이터테이블인 것으로 이해될 수 있다.
주요하게 createtime은 분석 대상 로그의 발생 시간의 개념으로 이해될 것이고, count는 로그 발생량, mlevel은 예측레벨, rlevel은 로그 발생건수를 레벨링한 수치인 관측레벨의 개념으로 이해될 수 있을 것이며, distance integer는 관측 레벨과 예측 레벨의 오차로서, 위험도를 산정하는 기준값인 것으로 이해될 수 있을 것이다.
상세하게 도 6의 1200에서는 원시 로그에서 사용자 아이디(Userid0와 접속 주소(homename)를 피쳐값으로 추출한 경우의 실시 예이고, 도 7의 1210은 접속 주소(remote_addr)를 피쳐값으로 추출한 경우의 실시 예이며, 도 8의 1220은 로컬 네트워크(Interface)를 피쳐값으로 추출한 경우의 실시 예인 것으로 이해될 수 있다.
정리하면, 본 발명에서는 로그 수집 서버에 저장되어 있는 원시 로그를 조회하여 피쳐값을 추출하고, 피쳐값의 정규화 및 레벨링을 통해 머신러닝 모델의 학습 데이터를 갱신한다. 특히 본 발명에서는 학습 데이터로 관측 레벨과 예측 레벨을 데이터베이스에 동시 저장되도록 하여, 이들 오차(또는 Distance)를 연산함으로써, 분석 대상 로그의 위험도를 판단할 수 있게 된다.
즉 종합하여 살펴본 결과 본 발명의 일 실시 예에 따르면, 최근 악성 코드 또는 행위 기반의 보안 위협들이 고도화 및 지능화됨에 따라, 프로파일링된 보안 위협의 위험도를 식별하여 최적의 대응이 수행되도록 하고, 이를 통해 보안 위협이 보안 사고로 이어지는 것을 저지하고, 보안 사고의 피해 규모가 확대되는 것을 방지하는 효과가 있다.
또한, 본 발명의 일 실시 예에 따르면, 대량으로 발생하는 로그를 수집하고 학습하여 별도의 임계치 설정 없이도, 로그의 유형과 로그의 발생량에 따라 자동화된 베이스라인 값을 통해 비정상 행위를 구분하여 보안 위협을 탐지하고 이에 따른 위험도를 판단할 수 있게 하는 효과가 있다.
또한, 본 발명의 일 실시 예에 따르면, 보안 관리자 중심으로 수행되던 기존의 보안 관리, 침해 사고 대응 관련 절차를 자동화하여, 관리자의 역량에 의지하지 않으면서, 보편적인 침해 시도 탐지 수준을 향상시키는 효과가 있다.
또한, 본 발명의 일 실시 예에 따르면, 대량의 로그 데이터를 처리함에 있어서 성능 지연을 최소화하고, 초기 구축 비용이 높지 않으면서, 차후 로그 데이터의 증가에 따른 확장이 용이한 보안 솔루션을 제공하는 효과가 있다.
이상과 같이 실시 예들이 비록 한정된 실시 예와 도면에 의해 설명되었으나, 해당 기술 분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다.
한편 도 9에서는 본 발명의 일 실시 예에 따른 서버 시스템(1) 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 장치(10)의 구성도를 도시하였다.
도 9에 도시된 바와 같이, 본 발명에서는 주요 구성으로 로그 전처리부(11), 로그 파일 연동부(12), 피쳐값 추출부(13), 모델 학습부(14) 및 위험도 산출부(15)를 포함할 수 있다.
이때 상술한 로그 전처리부(11)는, 로그 수집 서버가 서버 시스템(1)에서 발생한 로그를 수집하고 수집된 로그를 가공하여 유형별로 분류된 로그 파일로 저장하는 기능을 수행한다.
즉 로그 전처리부(11)는, 비정형 데이터인 로그 파일을 정형 데이터로 가공하여, 검색, 선택, 갱신 및 삭제 등의 연산이 용이해지게 구조화함으로써 쿼리에 대한 정확한 응답을 제공할 수 있게 된다.
결과적으로, 상술한 로그 전처리부(11)는 앞서 도 1의 S10 단계가 수행하는 기능을 모두 수행할 수 있는 것으로 이해될 수 있다.
다음으로 상술한 로그 파일 연동부(12)는, 로그 전처리부(11)에서 저장한 로그 파일을 하둡분산파일시스템에 저장하기 위해 기 저장된 로그 파일의 데이터를 가공하고, 가공된 로그 파일을 빅데이터 저장소(100)에 연동시키도록 하는 기능을 수행한다.
즉 상술한 로그 파일 연동부(12)는, 앞서 도 1의 S20 단계가 수행하는 기능을 모두 수행 가능한 것으로 이해될 것이며, 본 발명에서는 상술한 로그 파일 연동부(12)의 기능 수행에 의하여, 로그 수집 서버 및 로그 분석 서버 간의 연동성을 증대하는 효과가 있다.
또한 다음으로 상술한 피쳐값 추출부(13)는, 로그 분석 서버가 빅데이터 저장소(100)와 통신하여 로그 수집 서버가 수집한 원시 로그의 조회를 요청하고, 조회된 원시 로그에서 정상 행위에 대한 피쳐값을 추출하는 기능을 수행한다.
즉 상술한 피쳐값 추출부(13)는 도 1의 S30 단계가 수행하는 기능을 모두 수행 가능한 것으로 이해될 수 있으며, 이러한 피쳐값 추출부(13)의 기능 수행에 의해, 정상 행위가 보이는 피쳐값을 추출하여 보안 위협을 비롯한 비정상 행위에 대한 탐지 기준이 마련될 수 있는 효과가 있다.
또한 다음으로 상술한 모델 학습부(14)는, 추출된 피쳐값을 정규화하여 정상 행위에 대한 베이스라인 값을 레벨링하고, 레벨링된 베이스라인 값을 기반으로 머신러닝 모델을 학습시키도록 하는 기능이 수행된다.
즉 상술한 모델 학습부(14)는, 앞서 도 1의 S40 단계가 수행하는 기능을 모두 수행 가능한 것으로 이해될 것이며, 본 발명에서는 상술한 모델 학습부(14)의 기능 수행에 의해서 비정상 행위를 탐지하는 머신러닝 모델이 지속 업데이트 됨으로써, 새롭게 출현하는 APT에도 효과적으로 대응할 수 있는 알고리즘을 구축할 수 있는 효과가 있다.
또한 다음으로 상술한 위험도 산출부(15)는, 학습된 머신러닝 모델을 데이터베이스(110)에 저장한 뒤, 분석 대상 로그에서 레벨링된 베이스라인 값에 위배되는 로그가 감지될 시, 비정상 행위가 탐지된 것으로 판단하여 탐지된 비정상 행위에 대한 위험도를 산출하도록 기능한다.
즉 상술한 위험도 산출부(15)는 도 1의 S50 단계가 수행하는 기능을 모두 수행할 수 있는 것으로, 이러한 위험도 산출부(15)의 기능 수행에 의하여, 보안 위협 상태를 예측하여 볼 수 있고, 종래 관리자가 관여하여야 하는 절차를 자동화함으로써, 관리자의 역량에 의지하지 않고, 보편적인 침해 시도 탐지 수준을 향상하여 줄 수 있는 효과를 제공한다.
또한 위험도 산출부(15)에서는 통신 모듈이 구비되어 있어 산출된 보안 위협을 기 설정된 관리자 단말(120)에 리포팅하는 행위의 수행 역시 가능할 것이며 본 발명은 이에 제한하지 않는다.
이상과 같이 실시 예들이 비록 한정된 실시 예와 도면에 의해 설명되었으나, 해당 기술 분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다.
다음으로 도 10을 참조하여 보면, 도 10에서는 본 발명의 일 실시 예에 따른 컴퓨팅 장치의 내부 구성의 일 예를 도시하였으며, 이하의 설명에 있어서, 상술한 도 1 내지 9에 대한 설명과 중복되는 불필요한 실시 예에 대한 설명은 생략하기로 한다.
도 10에 도시한 바와 같이, 컴퓨팅 장치(10000)은 적어도 하나의 프로세서(processor)(11100), 메모리(memory)(11200), 주변장치 인터페이스(peripheral interface)(11300), 입/출력 서브시스템(I/O subsystem)(11400), 전력 회로(11500) 및 통신 회로(11600)를 적어도 포함할 수 있다. 이때, 컴퓨팅 장치(10000)은 촉각 인터페이스 장치에 연결된 유저 단말이기(A) 혹은 전술한 컴퓨팅 장치(B)에 해당될 수 있다.
메모리(11200)는, 일례로 고속 랜덤 액세스 메모리(high-speed random access memory), 자기 디스크, 에스램(SRAM), 디램(DRAM), 롬(ROM), 플래시 메모리 또는 비휘발성 메모리를 포함할 수 있다. 메모리(11200)는 컴퓨팅 장치(10000)의 동작에 필요한 소프트웨어 모듈, 명령어 집합 또는 그밖에 다양한 데이터를 포함할 수 있다.
이때, 프로세서(11100)나 주변장치 인터페이스(11300) 등의 다른 컴포넌트에서 메모리(11200)에 액세스하는 것은 프로세서(11100)에 의해 제어될 수 있다.
주변장치 인터페이스(11300)는 컴퓨팅 장치(10000)의 입력 및/또는 출력 주변장치를 프로세서(11100) 및 메모리 (11200)에 결합시킬 수 있다. 프로세서(11100)는 메모리(11200)에 저장된 소프트웨어 모듈 또는 명령어 집합을 실행하여 컴퓨팅 장치(10000)을 위한 다양한 기능을 수행하고 데이터를 처리할 수 있다.
입/출력 서브시스템(11400)은 다양한 입/출력 주변장치들을 주변장치 인터페이스(11300)에 결합시킬 수 있다. 예를 들어, 입/출력 서브시스템(11400)은 모니터나 키보드, 마우스, 프린터 또는 필요에 따라 터치스크린이나 센서 등의 주변장치를 주변장치 인터페이스(11300)에 결합시키기 위한 컨트롤러를 포함할 수 있다. 다른 측면에 따르면, 입/출력 주변장치들은 입/출력 서브시스템(11400)을 거치지 않고 주변장치 인터페이스(11300)에 결합될 수도 있다.
전력 회로(11500)는 단말기의 컴포넌트의 전부 또는 일부로 전력을 공급할 수 있다. 예를 들어 전력 회로(11500)는 전력 관리 시스템, 배터리나 교류(AC) 등과 같은 하나 이상의 전원, 충전 시스템, 전력 실패 감지 회로(power failure detection circuit), 전력 변환기나 인버터, 전력 상태 표시자 또는 전력 생성, 관리, 분배를 위한 임의의 다른 컴포넌트들을 포함할 수 있다.
통신 회로(11600)는 적어도 하나의 외부 포트를 이용하여 다른 컴퓨팅 장치와 통신을 가능하게 할 수 있다.
또는 상술한 바와 같이 필요에 따라 통신 회로(11600)는 RF 회로를 포함하여 전자기 신호(electromagnetic signal)라고도 알려진 RF 신호를 송수신함으로써, 다른 컴퓨팅 장치와 통신을 가능하게 할 수도 있다.
이러한 도 10의 실시 예는, 컴퓨팅 장치(10000)의 일례일 뿐이고, 컴퓨팅 장치(11000)은 도 10에 도시된 일부 컴포넌트가 생략되거나, 도 10에 도시되지 않은 추가의 컴포넌트를 더 구비하거나, 2개 이상의 컴포넌트를 결합시키는 구성 또는 배치를 가질 수 있다. 예를 들어, 모바일 환경의 통신 단말을 위한 컴퓨팅 장치는 도 10에 도시된 컴포넌트들 외에도, 터치스크린이나 센서 등을 더 포함할 수도 있으며, 통신 회로(1160)에 다양한 통신방식(WiFi, 3G, LTE, Bluetooth, NFC, Zigbee 등)의 RF 통신을 위한 회로가 포함될 수도 있다. 컴퓨팅 장치(10000)에 포함 가능한 컴포넌트들은 하나 이상의 신호 처리 또는 어플리케이션에 특화된 집적 회로를 포함하는 하드웨어, 소프트웨어, 또는 하드웨어 및 소프트웨어 양자의 조합으로 구현될 수 있다.
본 발명의 실시 예에 따른 방법들은 다양한 컴퓨팅 장치를 통하여 수행될 수 있는 프로그램 명령(instruction) 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 특히, 본 실시 예에 따른 프로그램은 PC 기반의 프로그램 또는 모바일 단말 전용의 어플리케이션으로 구성될 수 있다. 본 발명이 적용되는 애플리케이션은 파일 배포 시스템이 제공하는 파일을 통해 이용자 단말에 설치될 수 있다. 일 예로, 파일 배포 시스템은 이용자 단말이기의 요청에 따라 상기 파일을 전송하는 파일 전송부(미도시)를 포함할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시 예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다.
또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술 분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로 (collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨팅 장치상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시 예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시 예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광 기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.
프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시 예들이 비록 한정된 실시 예와 도면에 의해 설명되었으나, 해당 기술 분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다. 그러므로, 다른 구현들, 다른 실시 예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (10)

  1. 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이상의 메모리를 포함하는 컴퓨팅 장치에서 구현되는 서버 시스템 로그를 이용한 머신러닝 기반의 보안 위협 위험도 산출 방법에 있어서,
    로그 수집 서버가 서버 시스템에서 발생한 로그를 수집하고, 수집된 로그를 가공하여 유형별로 분류된 로그 파일로 저장하는 로그 전처리 단계;
    상기 로그 전처리 단계에서 저장한 로그 파일을 하둡분산파일시스템(HDFS, Hadoop Distributed File System)에 저장하기 위해 상기 로그 파일의 데이터를 가공하고, 가공된 로그 파일을 빅데이터 저장소에 연동하는 로그 파일 연동 단계;
    로그 분석 서버는 상기 빅데이터 저장소와 통신하여, 상기 로그 수집 서버가 수집한 원시 로그의 조회를 요청하고, 조회된 원시 로그에서 단위 시간 주기에 따른 피쳐값을 추출하는 피쳐값 추출 단계;
    추출된 피쳐값을 유형별로 정규화하여 로그의 유형별 베이스라인 값을 레벨링하고, 레벨링된 베이스라인 값을 기반으로 머신러닝 모델을 학습시키는 모델 학습 단계; 및,
    학습된 머신러닝 모델을 데이터베이스에 저장한 뒤, 분석 대상 로그에서 상기 레벨링된 베이스라인 값에 위배되는 로그가 감지될 시, 보안 위협이 존재하는 비정상 행위가 탐지된 것으로 판단하여, 탐지된 비정상 행위에 대한 위험도를 산출하는 위험도 산출 단계;를 포함하되,
    상기 모델 학습 단계는,
    상기 하둡분산파일시스템에 저장된 로그 파일을 오픈 소스를 이용하여 레벨링하되,
    레벨링 수행 시, 시간별, 일별, 주별 및 월별 중 적어도 어느 하나를 포함하는 단위 시간을 주기로 유형별 로그의 발생량에 대한 베이스라인 값을 n개로 정의된 레벨 데이터에서 쿼리하고,
    상기 위험도 산출 단계는,
    상기 오픈 소스를 이용하여 상기 비정상 행위가 탐지된 로그를 레벨링하여 관측 레벨이 산출되도록 하되, 산출된 관측 레벨을, 상기 n개로 정의된 레벨 데이터에서 쿼리한 예측 레벨과 비교하여 상기 비정상 행위에 대한 위험도가 산출되도록 하며,
    상기 위험도 산출 단계는,
    상기 관측 레벨과 상기 예측 레벨을 조회하여, 관측 레벨의 평균값과 예측 레벨의 평균값의 오차를 연산함으로써, 상기 비정상 행위에 대한 위험도를 산출하되,
    상기 비정상 행위에 대한 위험도는,
    상기 관측 레벨의 평균값과 상기 예측 레벨의 평균값의 오차가 0 미만이면 주의(Caution), 0 초과 15 미만이면 위험(Danger), 15 초과 25 미만이면 위기(Critical)인 것으로 정의되어, 오차 발생량에 따른 위험도를 안내하고,
    상기 위험도 산출 단계는,
    상기 비정상 행위에 대한 위험도 산출 결과에 따라 경고 데이터를 생성하여, 생성된 경고 데이터를 하나 이상의 관제 단말에 리포팅하되,
    상기 경고 데이터에는 상기 비정상 행위가 탐지된 로그의 출처, 시간 정보를 포함하는 데이터가 포함될 수 있고,
    상기 경고 데이터에 포함된 비정상 행위를 프로파일링하여, 프로파일링된 비정상 행위에 대응되는 로그의 탐지 시, 탐지된 로그를 비정상 의심 행위로 추출하는 것을 특징으로 하는 서버 시스템 로그를 이용한 머신러닝 기반의 보안 위협 위험도 산출 방법.
  2. 제1항에 있어서,
    상기 피쳐값 추출 단계의 수행 시,
    상기 로그 분석 서버는, 기 설정된 주기마다 상기 로그 수집 서버가 수집한 원시 로그의 조회를 요청함으로써, 상기 기 설정된 주기에 대응되는 피쳐값의 갱신이 수행되도록 하는 것을 특징으로 하는 서버 시스템 로그를 이용한 머신러닝 기반의 보안 위협 위험도 산출 방법.
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 제1항에 있어서,
    상기 위험도 산출 단계는,
    상기 서버 시스템에 대한 비정상 행위가 탐지될 경우, 보안 커널에 의해 상기 서버 시스템 내에서의 이상 프로세스 실행 행위, 중요 파일의 접근 행위 및 위험 명령어 실행 행위 중 적어도 어느 하나를 포함하는 행위에 대한 접근을 통제하는 것을 특징으로 하는 서버 시스템 로그를 이용한 머신러닝 기반의 보안 위협 위험도 산출 방법.
  8. 삭제
  9. 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이상의 메모리를 포함하는 컴퓨팅 장치에서 구현되는 서버 시스템 로그를 이용한 머신러닝 기반의 보안 위협 위험도 산출 장치에 있어서,
    로그 수집 서버가 서버 시스템에서 발생한 로그를 수집하고, 수집된 로그를 가공하여 유형별로 분류된 로그 파일로 저장하는 로그 전처리부;
    상기 로그 전처리부에서 저장한 로그 파일을 하둡분산파일시스템(HDFS, Hadoop Distributed File System)에 저장하기 위해 상기 로그 파일의 데이터를 가공하고, 가공된 로그 파일을 빅데이터 저장소에 연동하는 로그 파일 연동부;
    로그 분석 서버는 상기 빅데이터 저장소와 통신하여, 상기 로그 수집 서버가 수집한 원시 로그의 조회를 요청하고, 조회된 원시 로그에서 단위 시간 주기에 따른 피쳐값을 추출하는 피쳐값 추출부;
    추출된 피쳐값을 유형별로 정규화하여 로그의 유형별 베이스라인 값을 레벨링하고, 레벨링된 베이스라인 값을 기반으로 머신러닝 모델을 학습시키는 모델 학습부; 및,
    학습된 머신러닝 모델을 데이터베이스에 저장한 뒤, 분석 대상 로그에서 상기 레벨링된 베이스라인 값에 위배되는 로그가 감지될 시, 보안 위협이 존재하는 비정상 행위가 탐지된 것으로 판단하여, 탐지된 비정상 행위에 대한 위험도를 산출하는 위험도 산출부;를 포함하되,
    상기 모델 학습부는,
    상기 하둡분산파일시스템에 저장된 로그 파일을 오픈 소스를 이용하여 레벨링하되,
    레벨링 수행 시, 시간별, 일별, 주별 및 월별 중 적어도 어느 하나를 포함하는 단위 시간을 주기로 유형별 로그의 발생량에 대한 베이스라인 값을 n개로 정의된 레벨 데이터에서 쿼리하고,
    상기 위험도 산출부는,
    상기 오픈 소스를 이용하여 상기 비정상 행위가 탐지된 로그를 레벨링하여 관측 레벨이 산출되도록 하되, 산출된 관측 레벨을, 상기 n개로 정의된 레벨 데이터에서 쿼리한 예측 레벨과 비교하여 상기 비정상 행위에 대한 위험도가 산출되도록 하며,
    상기 위험도 산출부는,
    상기 관측 레벨과 상기 예측 레벨을 조회하여, 관측 레벨의 평균값과 예측 레벨의 평균값의 오차를 연산함으로써, 상기 비정상 행위에 대한 위험도를 산출하되,
    상기 비정상 행위에 대한 위험도는,
    상기 관측 레벨의 평균값과 상기 예측 레벨의 평균값의 오차가 0 미만이면 주의(Caution), 0 초과 15 미만이면 위험(Danger), 15 초과 25 미만이면 위기(Critical)인 것으로 정의되어, 오차 발생량에 따른 위험도를 안내하고,
    상기 위험도 산출부는,
    상기 비정상 행위에 대한 위험도 산출 결과에 따라 경고 데이터를 생성하여, 생성된 경고 데이터를 하나 이상의 관제 단말에 리포팅하되,
    상기 경고 데이터에는 상기 비정상 행위가 탐지된 로그의 출처, 시간 정보를 포함하는 데이터가 포함될 수 있고,
    상기 경고 데이터에 포함된 비정상 행위를 프로파일링하여, 프로파일링된 비정상 행위에 대응되는 로그의 탐지 시, 탐지된 로그를 비정상 의심 행위로 추출하는 것을 특징으로 하는 서버 시스템 로그를 이용한 머신러닝 기반의 보안 위협 위험도 산출 장치.
  10. 컴퓨터-판독 가능 기록 매체로서,
    상기 컴퓨터-판독 가능 기록 매체는, 컴퓨팅 장치로 하여금 이하의 단계들을 수행하도록 하는 명령들을 저장하며, 상기 단계들은:
    로그 수집 서버가 서버 시스템에서 발생한 로그를 수집하고, 수집된 로그를 가공하여 유형별로 분류된 로그 파일로 저장하는 로그 전처리 단계;
    상기 로그 전처리 단계에서 저장한 로그 파일을 하둡분산파일시스템(HDFS, Hadoop Distributed File System)에 저장하기 위해 상기 로그 파일의 데이터를 가공하고, 가공된 로그 파일을 빅데이터 저장소에 연동하는 로그 파일 연동 단계;
    로그 분석 서버는 상기 빅데이터 저장소와 통신하여, 상기 로그 수집 서버가 수집한 원시 로그의 조회를 요청하고, 조회된 원시 로그에서 단위 시간 주기에 따른 피쳐값을 추출하는 피쳐값 추출 단계;
    추출된 피쳐값을 유형별로 정규화하여 로그의 유형별 베이스라인 값을 레벨링하고, 레벨링된 베이스라인 값을 기반으로 머신러닝 모델을 학습시키는 모델 학습 단계; 및,
    학습된 머신러닝 모델을 데이터베이스에 저장한 뒤, 분석 대상 로그에서 상기 레벨링된 베이스라인 값에 위배되는 로그가 감지될 시, 보안 위협이 존재하는 비정상 행위가 탐지된 것으로 판단하여, 탐지된 비정상 행위에 대한 위험도를 산출하는 위험도 산출 단계;를 포함하되,
    상기 모델 학습 단계는,
    상기 하둡분산파일시스템에 저장된 로그 파일을 오픈 소스를 이용하여 레벨링하되,
    레벨링 수행 시, 시간별, 일별, 주별 및 월별 중 적어도 어느 하나를 포함하는 단위 시간을 주기로 유형별 로그의 발생량에 대한 베이스라인 값을 n개로 정의된 레벨 데이터에서 쿼리하고,
    상기 위험도 산출 단계는,
    상기 오픈 소스를 이용하여 상기 비정상 행위가 탐지된 로그를 레벨링하여 관측 레벨이 산출되도록 하되, 산출된 관측 레벨을, 상기 n개로 정의된 레벨 데이터에서 쿼리한 예측 레벨과 비교하여 상기 비정상 행위에 대한 위험도가 산출되도록 하며,
    상기 위험도 산출 단계는,
    상기 관측 레벨과 상기 예측 레벨을 조회하여, 관측 레벨의 평균값과 예측 레벨의 평균값의 오차를 연산함으로써, 상기 비정상 행위에 대한 위험도를 산출하되,
    상기 비정상 행위에 대한 위험도는,
    상기 관측 레벨의 평균값과 상기 예측 레벨의 평균값의 오차가 0 미만이면 주의(Caution), 0 초과 15 미만이면 위험(Danger), 15 초과 25 미만이면 위기(Critical)인 것으로 정의되어, 오차 발생량에 따른 위험도를 안내하고,
    상기 위험도 산출 단계는,
    상기 비정상 행위에 대한 위험도 산출 결과에 따라 경고 데이터를 생성하여, 생성된 경고 데이터를 하나 이상의 관제 단말에 리포팅하되,
    상기 경고 데이터에는 상기 비정상 행위가 탐지된 로그의 출처, 시간 정보를 포함하는 데이터가 포함될 수 있고,
    상기 경고 데이터에 포함된 비정상 행위를 프로파일링하여, 프로파일링된 비정상 행위에 대응되는 로그의 탐지 시, 탐지된 로그를 비정상 의심 행위로 추출하는 것을 특징으로 하는 컴퓨터-판독 가능 기록 매체.
KR1020210174671A 2021-12-08 2021-12-08 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체 KR102410151B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020210174671A KR102410151B1 (ko) 2021-12-08 2021-12-08 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체
PCT/KR2021/019475 WO2023106504A1 (ko) 2021-12-08 2021-12-21 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체
US17/870,000 US20230177152A1 (en) 2021-12-08 2022-07-21 Method, apparatus, and computer-readable recording medium for performing machine learning-based observation level measurement using server system log and performing risk calculation using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210174671A KR102410151B1 (ko) 2021-12-08 2021-12-08 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체

Publications (1)

Publication Number Publication Date
KR102410151B1 true KR102410151B1 (ko) 2022-06-22

Family

ID=82216661

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210174671A KR102410151B1 (ko) 2021-12-08 2021-12-08 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체

Country Status (3)

Country Link
US (1) US20230177152A1 (ko)
KR (1) KR102410151B1 (ko)
WO (1) WO2023106504A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11853418B2 (en) * 2021-09-01 2023-12-26 Rockwell Collins, Inc. System and method for neural network based detection of cyber intrusion via mode-specific system templates

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101469283B1 (ko) * 2008-06-30 2014-12-04 주식회사 케이티 기업 네트워크 분석 시스템 및 그 방법
KR101880686B1 (ko) * 2018-02-28 2018-07-20 에스지에이솔루션즈 주식회사 Ai 딥러닝 기반의 악성코드 탐지 시스템
KR102017756B1 (ko) * 2014-01-13 2019-09-03 한국전자통신연구원 이상행위 탐지 장치 및 방법
KR102089688B1 (ko) * 2019-04-12 2020-04-24 주식회사 이글루시큐리티 준지도학습을 통한 인공지능 기반 보안이벤트 분석시스템 및 그 방법
KR102108960B1 (ko) * 2019-04-12 2020-05-13 주식회사 이글루시큐리티 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101469283B1 (ko) * 2008-06-30 2014-12-04 주식회사 케이티 기업 네트워크 분석 시스템 및 그 방법
KR102017756B1 (ko) * 2014-01-13 2019-09-03 한국전자통신연구원 이상행위 탐지 장치 및 방법
KR101880686B1 (ko) * 2018-02-28 2018-07-20 에스지에이솔루션즈 주식회사 Ai 딥러닝 기반의 악성코드 탐지 시스템
KR102089688B1 (ko) * 2019-04-12 2020-04-24 주식회사 이글루시큐리티 준지도학습을 통한 인공지능 기반 보안이벤트 분석시스템 및 그 방법
KR102108960B1 (ko) * 2019-04-12 2020-05-13 주식회사 이글루시큐리티 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법

Also Published As

Publication number Publication date
US20230177152A1 (en) 2023-06-08
WO2023106504A1 (ko) 2023-06-15

Similar Documents

Publication Publication Date Title
Pitakrat et al. Hora: Architecture-aware online failure prediction
US9558347B2 (en) Detecting anomalous user behavior using generative models of user actions
US11316851B2 (en) Security for network environment using trust scoring based on power consumption of devices within network
CN112602081A (zh) 利用警报置信度分配来增强网络安全和操作监控
US11943235B2 (en) Detecting suspicious user logins in private networks using machine learning
US11575688B2 (en) Method of malware characterization and prediction
WO2020005250A1 (en) Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time
JP2021027505A (ja) 監視装置、監視方法、および監視プログラム
Zhao et al. Predicting performance anomalies in software systems at run-time
Hong et al. DAC‐Hmm: detecting anomaly in cloud systems with hidden Markov models
US20200104233A1 (en) System operational analytics using normalized likelihood scores
KR102410151B1 (ko) 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체
CN113949652B (zh) 基于人工智能的用户异常行为检测方法、装置及相关设备
US10262133B1 (en) System and method for contextually analyzing potential cyber security threats
Wang et al. CrowdNet: identifying large-scale malicious attacks over android kernel structures
RU180789U1 (ru) Устройство аудита информационной безопасности в автоматизированных системах
Kardani‐Moghaddam et al. Performance anomaly detection using isolation‐trees in heterogeneous workloads of web applications in computing clouds
CN116644437A (zh) 数据安全评估方法、装置及存储介质
Zhang et al. A two-stage virtual machine abnormal behavior-based anomaly detection mechanism
Pan et al. An anomaly detection method for system logs using Venn-Abers predictors
Sapegin et al. Evaluation of in‐memory storage engine for machine learning analysis of security events
Gaykar et al. Faulty Node Detection in HDFS Using Machine Learning Techniques.
Roschke et al. An alert correlation platform for memory‐supported techniques
CN111651753A (zh) 用户行为分析系统及方法
Shi et al. An intrusion detection system based on hadoop

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant