KR20130039175A - 내부자 위협 탐지 장치 및 방법 - Google Patents

내부자 위협 탐지 장치 및 방법 Download PDF

Info

Publication number
KR20130039175A
KR20130039175A KR1020110103671A KR20110103671A KR20130039175A KR 20130039175 A KR20130039175 A KR 20130039175A KR 1020110103671 A KR1020110103671 A KR 1020110103671A KR 20110103671 A KR20110103671 A KR 20110103671A KR 20130039175 A KR20130039175 A KR 20130039175A
Authority
KR
South Korea
Prior art keywords
insider
information
insiders
knowledge base
threat detection
Prior art date
Application number
KR1020110103671A
Other languages
English (en)
Inventor
손선경
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020110103671A priority Critical patent/KR20130039175A/ko
Priority to US13/475,880 priority patent/US8965823B2/en
Publication of KR20130039175A publication Critical patent/KR20130039175A/ko

Links

Images

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B31/00Predictive alarm systems characterised by extrapolation or other computation using updated historic data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Abstract

본 발명은 기관에 근무하는 내부자의 행동, 이벤트, 상태 등과 같은 내부자에 의해 발생하는 여러 정보를 수집 및 분석하여 잠재적인 위협이 될 수 있는 비정상 내부자를 탐지하는 방법에 관한 것이다. 이러한 본 발명의 바람직한 실시예에 따른 내부자 위협 탐지 장치는, 내부자와 관련된 정보를 수집하고 정규화된 포맷으로 변환하는 정보 수집부; 상기 정보 수집부에서 변환된 정보를 저장하는 지식 베이스; 상기 지식 베이스에 저장된 정보로부터 내부자별 패턴을 생성하는 패턴 추출부; 및 상기 패턴 추출부에서 생성된 내부자별 패턴을 상호 비교하여 비정상 내부자를 탐지하는 연관성 분석부; 를 포함한다.

Description

내부자 위협 탐지 장치 및 방법{INSIDER THREAT DETECTION DEVICE AND METHOD}
본 발명은 기관에 근무하는 내부자의 행동, 이벤트, 상태 등과 같은 내부자에 의해 발생하는 여러 정보를 수집 및 분석함으로써, 잠재적인 위협이 될 수 있는 비정상 내부자를 탐지하는 방법에 관한 것이다.
현재, 많은 기관에서 내부자 위협 문제가 증가하고 있는 추세에 있다. 기관 내부 구조를 잘 알고 있는 내부자에 의한 위협은 외부에서의 공격보다 심각한 결과를 발생시킨다.
최근에는 많은 보안 기술이 개발되었으나 대부분 외부로부터의 공격을 방지하기 위한 것이고 내부자의 비정상 행동을 다루기에는 한계가 있다.
본 발명의 상기와 같은 종래의 문제점을 해결하기 위한 것으로서, 기관에 근무하는 내부자의 행동, 내부자와 관련된 각종 이벤트, 내부자의 상태 등의 정보를 수집하여 지식 베이스에 저장하고, 저장된 정보로부터 내부자별 패턴을 추출한 후에 다른 내부자 패턴과의 시공간 연관성 분석을 수행함으로써, 의심스러운 행동 패턴을 보이는 비정상 내부자를 탐지하는 장치 및 방법을 제공하는 것이다.
상기와 같은 목적을 달성하기 위한 본 발명의 바람직한 실시예에 따른 내부자 위협 탐지 장치는, 내부자와 관련된 정보를 수집하고 정규화된 포맷으로 변환하는 정보 수집부; 상기 정보 수집부에서 변환된 정보를 저장하는 지식 베이스; 상기 지식 베이스에 저장된 정보로부터 내부자별 패턴을 생성하는 패턴 추출부; 및 상기 패턴 추출부에서 생성된 내부자별 패턴을 상호 비교하여 비정상 내부자를 탐지하는 연관성 분석부; 를 포함하는 것을 특징으로 한다.
상기 정보 수집부는 내부자의 행동, 내부자와 관련된 이벤트, 내부자의 상태 정보를 포함하는 정보를 수집하고 정규화된 포맷으로 변환한 후에 지식 베이스에 저장하는 것을 특징으로 한다.
상기 정보 수집부는 내부자의 건물 출입 기록, 호스트 접속 기록, 중요 문서 접근 및 출력 기록, 이동식 저장매체 사용 기록, 자산 반출입 기록, 위험사이트 접속 기록, 데이터베이스 접속 기록, 내부자 소유의 IT 장비의 네트워크 트래픽을 포함하는 내부자와 관련된 정보를 수집한 후에 4W1H(누가, 언제, 어디서, 무엇을, 어떻게) 형식으로 정규화된 포맷으로 변환하여 지식 베이스에 저장하는 것을 특징으로 한다.
상기 패턴 추출부는 지식 베이스에 저장된 정보들을 웨이블릿 변환(Wavelet Transform)을 통해 소정 기준보다 높은 주파수와 낮은 주파수로 분리한 후에, 높은 주파수에서 내부자별 이상 현상의 빈도를 분석하는 것을 특징으로 한다.
상기 연관성 분석부는 패턴 추출부에서 생성된 내부자별 이상 현상의 패턴들 사이의 유사도를 유클리디안 거리(Euclidean Distance)를 통해 측정하고, 측정한 유사도를 이용해 유사한 행동 패턴의 내부자를 클러스터링한 후에, 다른 직급의 내부자가 속해 있거나 다른 업무를 수행하는 내부자가 속해 있거나 소수의 내부자만 포함되어 있는 클러스터를 찾아내어 비정상 내부자를 탐지하는 것을 특징으로 한다.
그리고, 상기와 같은 목적을 달성하기 위한 본 발명의 바람직한 실시예에 따른 내부자 위협 탐지 방법은, (a) 내부자와 관련된 정보를 수집하는 단계; (b) 수집한 정보를 정규화된 포맷으로 변환하는 단계; (c) 변환된 정보를 지식 베이스에 저장하는 단계; (d) 상기 지식 베이스에 저장된 정보로부터 내부자별 패턴을 형성하는 단계; 및 (d) 내부자별 패턴을 상호 비교하여 비정상 내부자를 탐지하는 단계; 를 포함하는 것을 특징으로 한다.
상기 (a)단계에서는 내부자의 행동, 내부자와 관련된 이벤트, 내부자의 상태 정보를 포함하는 정보를 수집하는 것을 특징으로 한다.
상기 (a)단계에서는 내부자의 건물 출입 기록, 호스트 접속 기록, 중요 문서 접근 및 출력 기록, 이동식 저장매체 사용 기록, 자산 반출입 기록, 위험사이트 접속 기록, 데이터베이스 접속 기록, 내부자 소유의 IT 장비의 네트워크 트래픽을 포함하는 내부자와 관련된 정보를 수집하는 것을 특징으로 한다.
상기 (b)단계에서는 4W1H(누가, 언제, 어디서, 무엇을, 어떻게) 형식으로 정규화된 포맷으로 변환하는 것을 특징으로 한다.
상기 (d)단계에서는 지식 베이스에 저장된 정보들을 웨이블릿 변환(Wavelet Transform)을 통해 소정 기준보다 높은 주파수와 낮은 주파수로 분리한 후에, 높은 주파수에서 내부자별 이상 현상의 빈도를 분석하는 것을 특징으로 한다.
상기 (e)단계에서는 (d)단계에서 생성된 내부자별 이상 현상의 패턴들 사이의 유사도를 유클리디안 거리(Euclidean Distance)를 통해 측정하고, 측정한 유사도를 이용해 유사한 행동 패턴의 내부자를 클러스터링한 후에, 다른 직급의 내부가 속해 있거나 다른 업무를 수행하는 내부자가 속해 있거나 소수의 내부자만 포함되어 있는 클러스터를 찾아내어 비정상 내부자를 탐지하는 것을 특징으로 한다.
상기와 같은 구성과 방법을 가지는 본 발명은, 내부자와 관련된 정보들을 연관성 분석 기법을 사용하여 분석함으로써 기관에 잠재적인 위협이 될 수 있는 내부자에 대한 이상 징후를 사전에 탐지하여, 기관 내의 시스템에 대한 공격이나 기관 내 중요 정보 탈취로부터 기관을 보호할 수 있는 효과가 있다.
도 1은 본 발명의 바람직한 실시예에 따른 내부자 위협 탐지 장치를 도시한 블록도.
도 2는 본 발명의 바람직한 실시예에 따른 내부자 위협 탐지 방법을 도시한 순서도.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예에 따른 내부자 위협 탐지 장치 및 방법에 대하여 설명한다.
먼저, 도 1을 참조하여 본 발명의 바람직한 실시예에 따른 내부자 위협 탐지 장치에 대하여 설명하도록 한다.
도 1에는 본 발명의 바람직한 실시예에 따른 내부자 위협 탐지 장치를 도시하였다.
도 1에 도시한 바와 같이 본 발명의 바람직한 실시예에 따른 내부자 위협 탐지 장치는, 내부자와 관련된 정보를 수집하고 정규화된 포맷으로 변환하는 정보 수집부(101); 상기 정보 수집부(101)에서 변환된 정보를 저장하는 지식 베이스(Knowledge Base, 102); 상기 지식 베이스(102)에 저장된 정보로부터 내부자별 패턴을 생성하는 패턴 추출부(103); 및 상기 패턴 추출부(103)에서 생성된 내부자별 패턴을 상호 비교하여 비정상 내부자를 탐지하는 연관성 분석부(104); 를 포함하여 구성된다.
이와 같은 구성을 가지는 본 발명의 바람직한 실시예에 따른 내부자 위협 탐지 장치의 각 구성 요소에 대하여 상세히 설명하면 다음과 같다.
상기 정보 수집부(101)는 내부자의 행동, 내부자와 관련된 이벤트, 내부자의 상태 정보를 포함하는 정보를 수집하고 정규화된 포맷으로 변환한 후에 지식 베이스(102)에 저장한다.
상기 정보 수집부(101)가 수집하는 정보의 예로는, 내부자의 건물 출입 기록, 호스트 접속 기록, 중요 문서 접근 및 출력 기록, 이동식 저장매체 사용 기록, 자산 반출입 기록, 위험사이트 접속 기록, 데이터베이스 접속 기록, 내부자 소유의 IT(Information Technology) 장비의 네트워크 트래픽 등이 있으며, 이와 같은 정보들은 모두 내부자와 관련된 정보이다.
상기 정보 수집부(101)는 상기와 같은 내부자와 관련된 정보를 수집한 후에 4W1H(누가, 언제, 어디서, 무엇을, 어떻게) 형식으로 정규화된 포맷으로 변환하여 지식 베이스(102)에 저장한다.
상기 패턴 추출부(103)는 지식 베이스에 저장된 정보들을 웨이블릿 변환(Wavelet Transform)을 통해 소정 기준보다 높은 주파수와 낮은 주파수로 분리한 후에 높은 주파수에서 내부자별 이상 현상의 빈도를 분석한다. 여기서, 상기 패턴 추출부(103)에서 분리된 높은 주파수는 정보들의 단기적인 추이를 나타내고 낮은 주파수는 장기적인 추이를 나타낸다. 즉, 상기 패턴 추출부(103)는 분리된 정보들 중에서 단기적인 추이를 나타내는 높은 주파수에서 내부자별 이상 현상의 빈도를 분석하게 된다.
상기 연관성 분석부(104)는 패턴 추출부(103)에서 생성된 내부자별 이상 현상의 패턴들 사이의 유사도를 유클리디안 거리(Euclidean Distance)를 사용하여 측정하고, 측정한 유사도를 이용하여 유사한 행동 패턴의 내부자를 클러스터링한 후에, 다른 직급의 내부자가 속해 있거나 다른 업무를 수행하는 내부자가 속해 있거나 소수의 내부자만 포함되어 있는 클러스터를 찾아내어 의심스러운 비정상 내부자를 탐지한다. 상기 연관성 분석부(104)가 유클리디안 거리(D(V1, V2)=∥V1-V22)를 사용하여 측정한 유사도는 "0"에서 "1" 사이의 값을 가지며, "0"에 가까울수록 패턴이 유사함을 의미한다.
이하, 도 2를 참조하여 본 발명의 바람직한 실시예에 따른 내부자 위협 탐지 방법에 대하여 설명하도록 한다.
도 2에는 본 발명의 바람직한 실시예에 따른 내부자 위협 탐지 방법의 단계들을 도시하였다.
먼저, 정보 수집부(101)는 내부자의 행동, 내부자와 관련된 이벤트, 내부자의 상태 정보를 포함하는 내부자와 관련된 정보를 수집한다.(S101)
상기 정보 수집부(101)가 수집하는 내부자와 관련된 정보의 예로는, 내부자의 건물 출입 기록, 호스트 접속 기록, 중요 문서 접근 및 출력 기록, 이동식 저장 매체 사용 기록, 자산 반출입 기록, 위험사이트 접속 기록, 데이터베이스 접속 기록, 내부자 소유의 IT(Infirmation Technology) 장비의 네트워크 트래픽 등이 있다.
다음으로, 상기 정보 수집부(101)는 수집한 내부자와 관련된 정보를 4W1H(누가, 언제, 어디서, 무엇을, 어떻게) 형식으로 정규화된 포맷으로 변환한 후에, 변환된 정보를 지식 베이스(102)에 저장한다.(S102, S103)
다음으로, 패턴 추출부(103)는 지식 베이스(102)에 저장된 정보로부터 내부자별 패턴을 형성한다.(S104) 더욱 상세히 설명하면, 상기 패턴 추출부(103)는 지식 베이스(102)에 저장된 정보들을 웨이블릿 변환(Wavelet Transform)을 통해 소정 기준보다 높은 주파수와 낮은 주파수로 분리한 후에 높은 주파수에서 내부자별 이상 현상의 빈도를 분석한다. 이때, 상기 패턴 추출부(103)에서 분리된 높은 주파수는 정보들의 단기적인 추이를 나타내고 낮은 주파수는 장기적인 추이를 나타낸다. 즉, 상기 패턴 추출부(103)는 분리된 정보들 중에서 단기적인 추이를 나타내는 높은 주파수에서 내부자별 이상 현상의 빈도를 분석하게 된다.
다음으로, 연관성 분석부(104)는 내부자별 패턴을 상호 비교하여 비정상 내부자를 탐지한다.(S104) 더욱 상세히 설명하면, 상기 연관성 분석부(104)는 패턴 추출부(103)에서 생성된 내부자별 이상 현상의 패턴들 사이의 유사도를 유클리디안 거리(Euclidean Distance)를 사용하여 측정하고, 측정한 유사도를 이용해 유사한 행동 패턴의 내부자를 클러스터링한 후에, 다른 직급의 내부자가 속해 있거나 다른 업무를 수행하는 내부자가 속해 있거나 소수의 내부자만 포함되어 있는 클러스터를 찾아내어 의심스러운 비정상 내부자를 탐지한다. 상기 연관성 분석부(104)가 유클리디안 거리(D(V1, V2)=∥V1-V22)를 사용하여 측정한 유사도는 "0"에서 "1" 사이의 값을 가지며, "0"에 가까울수록 패턴이 유사함을 의미한다.
상술한 바와 같은 본 발명의 바람직한 실시예에 따른 내부자 위협 탐지 장치 및 방법은, 내부자와 관련된 정보들을 연관성 분석 기법을 사용하여 분석함으로써 기관에 잠재적인 위협이 될 수 있는 내부자에 대한 이상 징후를 사전에 탐지함으로써 기관 내의 시스템에 대한 공격이나 기관 내 중요 정보 탈취로부터 기관을 보호할 수 있다.
101 : 정보 수집부 102 : 지식 베이스
103 : 패턴 추출부 104 : 연관성 분석부

Claims (11)

  1. 내부자와 관련된 정보를 수집하고 정규화된 포맷으로 변환하는 정보 수집부;
    상기 정보 수집부에서 변환된 정보를 저장하는 지식 베이스;
    상기 지식 베이스에 저장된 정보로부터 내부자별 패턴을 생성하는 패턴 추출부; 및
    상기 패턴 추출부에서 생성된 내부자별 패턴을 상호 비교하여 비정상 내부자를 탐지하는 연관성 분석부;
    를 포함하는 것을 특징으로 하는 내부자 위협 탐지 장치.
  2. 제 1 항에 있어서, 상기 정보 수집부는 내부자의 행동, 내부자와 관련된 이벤트, 내부자의 상태 정보를 포함하는 정보를 수집하고 정규화된 포맷으로 변환한 후에 지식 베이스에 저장하는 것을 특징으로 하는 내부자 위협 탐지 장치.
  3. 제 2 항에 있어서, 상기 정보 수집부는 내부자의 건물 출입 기록, 호스트 접속 기록, 중요 문서 접근 및 출력 기록, 이동식 저장매체 사용 기록, 자산 반출입 기록, 위험사이트 접속 기록, 데이터베이스 접속 기록, 내부자 소유의 IT 장비의 네트워크 트래픽을 포함하는 내부자와 관련된 정보를 수집한 후에 4W1H(누가, 언제, 어디서, 무엇을, 어떻게) 형식으로 정규화된 포맷으로 변환하여 지식 베이스에 저장하는 것을 특징으로 하는 내부자 위협 탐지 장치.
  4. 제 2 항에 있어서, 상기 패턴 추출부는 지식 베이스에 저장된 정보들을 웨이블릿 변환(Wavelet Transform)을 통해 소정 기준보다 높은 주파수와 낮은 주파수로 분리한 후에, 높은 주파수에서 내부자별 이상 현상의 빈도를 분석하는 것을 특징으로 하는 내부자 위협 탐지 장치.
  5. 제 4 항에 있어서, 상기 연관성 분석부는 패턴 추출부에서 생성된 내부자별 이상 현상의 패턴들 사이의 유사도를 유클리디안 거리(Euclidean Distance)를 통해 측정하고, 측정한 유사도를 이용해 유사한 행동 패턴의 내부자를 클러스터링한 후에, 다른 직급의 내부자가 속해 있거나 다른 업무를 수행하는 내부자가 속해 있거나 소수의 내부자만 포함되어 있는 클러스터를 찾아내어 비정상 내부자를 탐지하는 것을 특징으로 하는 내부자 위협 탐지 장치.
  6. (a) 내부자와 관련된 정보를 수집하는 단계;
    (b) 수집한 정보를 정규화된 포맷으로 변환하는 단계;
    (c) 변환된 정보를 지식 베이스에 저장하는 단계;
    (d) 상기 지식 베이스에 저장된 정보로부터 내부자별 패턴을 형성하는 단계; 및
    (d) 내부자별 패턴을 상호 비교하여 비정상 내부자를 탐지하는 단계;
    를 포함하는 것을 특징으로 하는 내부자 위협 탐지 방법.
  7. 제 6 항에 있어서, 상기 (a)단계에서는 내부자의 행동, 내부자와 관련된 이벤트, 내부자의 상태 정보를 포함하는 정보를 수집하는 것을 특징으로 하는 내부자 위협 탐지 방법.
  8. 제 7 항에 있어서, 상기 (a)단계에서는 내부자의 건물 출입 기록, 호스트 접속 기록, 중요 문서 접근 및 출력 기록, 이동식 저장매체 사용 기록, 자산 반출입 기록, 위험사이트 접속 기록, 데이터베이스 접속 기록, 내부자 소유의 IT 장비의 네트워크 트래픽을 포함하는 내부자와 관련된 정보를 수집하는 것을 특징으로 하는 내부자 위협 탐지 방법.
  9. 제 7 항에 있어서, 상기 (b)단계에서는 4W1H(누가, 언제, 어디서, 무엇을, 어떻게) 형식으로 정규화된 포맷으로 변환하는 것을 특징으로 하는 내부자 위협 탐지 방법.
  10. 제 7 항에 있어서, 상기 (d)단계에서는 지식 베이스에 저장된 정보들을 웨이블릿 변환(Wavelet Transform)을 통해 소정 기준보다 높은 주파수와 낮은 주파수로 분리한 후에, 높은 주파수에서 내부자별 이상 현상의 빈도를 분석하는 것을 특징으로 하는 내부자 위협 탐지 방법.
  11. 제 10항에 있어서, 상기 (e)단계에서는 (d)단계에서 생성된 내부자별 이상 현상의 패턴들 사이의 유사도를 유클리디안 거리(Euclidean Distance)를 통해 측정하고, 측정한 유사도를 이용해 유사한 행동 패턴의 내부자를 클러스터링한 후에, 다른 직급의 내부가 속해 있거나 다른 업무를 수행하는 내부자가 속해 있거나 소수의 내부자만 포함되어 있는 클러스터를 찾아내어 비정상 내부자를 탐지하는 것을 특징으로 하는 위협 탐지 방법.
KR1020110103671A 2011-10-11 2011-10-11 내부자 위협 탐지 장치 및 방법 KR20130039175A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020110103671A KR20130039175A (ko) 2011-10-11 2011-10-11 내부자 위협 탐지 장치 및 방법
US13/475,880 US8965823B2 (en) 2011-10-11 2012-05-18 Insider threat detection device and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110103671A KR20130039175A (ko) 2011-10-11 2011-10-11 내부자 위협 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20130039175A true KR20130039175A (ko) 2013-04-19

Family

ID=48042745

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110103671A KR20130039175A (ko) 2011-10-11 2011-10-11 내부자 위협 탐지 장치 및 방법

Country Status (2)

Country Link
US (1) US8965823B2 (ko)
KR (1) KR20130039175A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150140160A (ko) * 2014-06-05 2015-12-15 주식회사 에스원 감시 장치 및 방법

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140075068A (ko) * 2012-12-10 2014-06-19 한국전자통신연구원 화상 통화 영상 변조 장치 및 그 방법
US9203856B2 (en) * 2013-03-04 2015-12-01 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for detecting communication anomalies in a network based on overlap between sets of users communicating with entities in the network
US9589245B2 (en) * 2014-04-07 2017-03-07 International Business Machines Corporation Insider threat prediction
US9892270B2 (en) 2014-07-18 2018-02-13 Empow Cyber Security Ltd. System and method for programmably creating and customizing security applications via a graphical user interface
US9565204B2 (en) 2014-07-18 2017-02-07 Empow Cyber Security Ltd. Cyber-security system and methods thereof
US9591008B2 (en) * 2015-03-06 2017-03-07 Imperva, Inc. Data access verification for enterprise resources
US11651313B1 (en) * 2015-04-27 2023-05-16 Amazon Technologies, Inc. Insider threat detection using access behavior analysis
US10366129B2 (en) 2015-12-04 2019-07-30 Bank Of America Corporation Data security threat control monitoring system
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US9882918B1 (en) 2017-05-15 2018-01-30 Forcepoint, LLC User behavior profile in a blockchain
US10999297B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Using expected behavior of an entity when prepopulating an adaptive trust profile
US10129269B1 (en) 2017-05-15 2018-11-13 Forcepoint, LLC Managing blockchain access to user profile information
US10862927B2 (en) 2017-05-15 2020-12-08 Forcepoint, LLC Dividing events into sessions during adaptive trust profile operations
US10943019B2 (en) 2017-05-15 2021-03-09 Forcepoint, LLC Adaptive trust profile endpoint
US10917423B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Intelligently differentiating between different types of states and attributes when using an adaptive trust profile
US10318729B2 (en) 2017-07-26 2019-06-11 Forcepoint, LLC Privacy protection during insider threat monitoring
CN109379717B (zh) * 2018-12-06 2020-08-04 西安电子科技大学 基于假位置的时空关联隐私保护方法
US10853496B2 (en) 2019-04-26 2020-12-01 Forcepoint, LLC Adaptive trust profile behavioral fingerprint
KR20220064781A (ko) 2020-11-12 2022-05-19 한국전자통신연구원 네트워크 행위 기반 기기 식별 장치 및 방법

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100576722B1 (ko) * 2003-12-26 2006-05-03 한국전자통신연구원 웹서비스에 대한 메시지 보안 처리 시스템 및 방법
US8200690B2 (en) * 2006-08-16 2012-06-12 International Business Machines Corporation System and method for leveraging historical data to determine affected entities
KR100826884B1 (ko) * 2006-11-27 2008-05-06 한국전자통신연구원 보안큐브를 이용한 네트워크 상태 표시장치 및 방법
KR100922579B1 (ko) * 2006-11-30 2009-10-21 한국전자통신연구원 네트워크 공격 탐지 장치 및 방법
KR100885293B1 (ko) * 2006-12-04 2009-02-23 한국전자통신연구원 네트워크 보안 상황 표시 장치 및 그 방법
KR100850361B1 (ko) * 2007-03-14 2008-08-04 한국전자통신연구원 실행 가능한 코드 탐지 방법 및 장치
KR100901696B1 (ko) * 2007-07-04 2009-06-08 한국전자통신연구원 보안 이벤트의 컨텐츠에 기반한 보안 이벤트 샘플링 장치및 방법
KR100922582B1 (ko) * 2007-07-20 2009-10-21 한국전자통신연구원 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법
US7902977B2 (en) * 2008-02-21 2011-03-08 Honeywell International Inc. Integrated multi-spectrum intrusion threat detection device and method for operation
KR100960111B1 (ko) * 2008-07-30 2010-05-27 한국전자통신연구원 리버스 캐싱 프록시를 이용한 웹 기반의 역추적 시스템
KR101404108B1 (ko) * 2008-12-10 2014-06-10 한국전자통신연구원 윈도우 실행파일 추출방법, 및 장치
KR101174058B1 (ko) * 2008-12-18 2012-08-16 한국전자통신연구원 데이터베이스의 암호화된 데이터 저장 및 검색 방법
US8375452B2 (en) 2008-12-25 2013-02-12 Check Point Software Technologies Ltd Methods for user profiling for detecting insider threats based on internet search patterns and forensics of search keywords
KR101302137B1 (ko) * 2009-12-16 2013-09-16 한국전자통신연구원 대칭 키 기반 검색 가능 암호 방법
US8775613B2 (en) * 2010-10-14 2014-07-08 Electronics And Telecommunications Research Institute Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring
KR20130049111A (ko) * 2011-11-03 2013-05-13 한국전자통신연구원 분산 처리를 이용한 포렌식 인덱스 방법 및 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150140160A (ko) * 2014-06-05 2015-12-15 주식회사 에스원 감시 장치 및 방법

Also Published As

Publication number Publication date
US20130091085A1 (en) 2013-04-11
US8965823B2 (en) 2015-02-24

Similar Documents

Publication Publication Date Title
KR20130039175A (ko) 내부자 위협 탐지 장치 및 방법
KR101621019B1 (ko) 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법
CN107667370B (zh) 用于异常过程检测的方法和系统
CN113676464B (zh) 一种基于大数据分析技术的网络安全日志告警处理方法
CN103428196B (zh) 一种基于url白名单的web应用入侵检测方法
EP2040435B1 (en) Intrusion detection method and system
KR101623071B1 (ko) 공격의심 이상징후 탐지 시스템
Muhammad et al. Stacked autoencoder-based intrusion detection system to combat financial fraudulent
CN107577771B (zh) 一种大数据挖掘系统
Mohammed et al. Intrusion detection system based on SVM for WLAN
CN105577679A (zh) 一种基于特征选择与密度峰值聚类的异常流量检测方法
CN104753946A (zh) 一种基于网络流量元数据的安全分析框架
US10645100B1 (en) Systems and methods for attacker temporal behavior fingerprinting and grouping with spectrum interpretation and deep learning
US10462170B1 (en) Systems and methods for log and snort synchronized threat detection
CN112114995A (zh) 基于进程的终端异常分析方法、装置、设备及存储介质
CN111881594B (zh) 一种核动力设备的非平稳信号状态监测方法及系统
US10805326B1 (en) Systems and methods for threat visualization with signature composure, spatial scale and temporal expansion
CN106802857A (zh) 一种用于解析希捷硬盘smart日志的方法
KR101444250B1 (ko) 개인정보 접근감시 시스템 및 그 방법
Mohammad et al. A novel local network intrusion detection system based on support vector machine
CN112581027A (zh) 一种风险信息管理方法、装置、电子设备及存储介质
Ianni et al. Some experiments on high performance anomaly detection
Zhang et al. Mbst: detecting packet-level traffic anomalies by feature stability
Zou et al. OutletGuarder: detecting DarkSide ransomware by power factor correction signals in an electrical outlet
Salunkhe et al. Data analysis of file forensic investigation

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application