KR20160131619A - 개인정보 부정사용 탐지 장치 - Google Patents

개인정보 부정사용 탐지 장치 Download PDF

Info

Publication number
KR20160131619A
KR20160131619A KR1020150064461A KR20150064461A KR20160131619A KR 20160131619 A KR20160131619 A KR 20160131619A KR 1020150064461 A KR1020150064461 A KR 1020150064461A KR 20150064461 A KR20150064461 A KR 20150064461A KR 20160131619 A KR20160131619 A KR 20160131619A
Authority
KR
South Korea
Prior art keywords
decryption
encryption
log data
requests
pattern information
Prior art date
Application number
KR1020150064461A
Other languages
English (en)
Other versions
KR101678179B1 (ko
Inventor
박성은
Original Assignee
(주)케이사인
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)케이사인 filed Critical (주)케이사인
Priority to KR1020150064461A priority Critical patent/KR101678179B1/ko
Publication of KR20160131619A publication Critical patent/KR20160131619A/ko
Application granted granted Critical
Publication of KR101678179B1 publication Critical patent/KR101678179B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Abstract

개인정보 부정사용 탐지 장치는 로그 데이터 수집기, 조건 로그 데이터 생성기 및 탐지기를 포함한다. 로그 데이터 수집기는 복수의 토큰 서버들로부터 제공되는 로그 데이터를 수신한다. 조건 로그 데이터 생성기는 로그 데이터를 미리 정해진 탐지 조건에 따라 분리하여 조건 로그 데이터를 제공한다. 탐지기는 조건 로그 데이터에 기초하여 시스템의 부정 사용 여부를 판단한다. 본 발명의 실시예들에 따른 개인정보 부정사용 탐지 장치는 탐지 조건에 따라 생성되는 조건 로그 데이터에 기초하여 시스템의 부정 사용 여부를 판단할 수 있다.

Description

개인정보 부정사용 탐지 장치{DEVICE OF DETECTING WRONGFUL USE OF PERSONAL INFORMATION}
본 발명은 개인 정보 보호에 관한 것으로서, 보다 상세하게는 개인정보 부정사용 탐지 장치에 관한 것이다.
개인 정보에 대한 보안을 유지하기 위하여 개인 정보를 암호화할 수 있다. 개인 정보를 암호화하더라도 타인에 의하여 개인 정보가 부정 사용될 수 있다. 개인 정보가 타인에 의하여 부정 사용되는 것을 방지하기 위하여 다양한 연구들이 진행되고 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 일 목적은 탐지 조건에 따라 생성되는 조건 로그 데이터에 기초하여 시스템의 부정 사용 여부를 판단할 수 있는 개인정보 부정사용 탐지 장치를 제공하는 것이다.
본 발명의 일 목적을 달성하기 위하여 본 발명의 실시예들에 따른 개인정보 부정사용 탐지 장치는 로그 데이터 수집기, 조건 로그 데이터 생성기 및 탐지기를 포함한다. 상기 로그 데이터 수집기는 복수의 토큰 서버들로부터 제공되는 로그 데이터를 수신한다. 상기 조건 로그 데이터 생성기는 상기 로그 데이터를 미리 정해진 탐지 조건에 따라 분리하여 조건 로그 데이터를 제공한다. 상기 탐지기는 상기 조건 로그 데이터에 기초하여 시스템의 부정 사용 여부를 판단한다.
예시적인 실시예에 있어서, 상기 탐지 조건은 시스템 접근 아이피 어드레스, 시스템 접근 시간, 상기 시스템에 암호화를 요청한 횟수에 해당하는 암호화 요청 횟수 및 상기 시스템에 복호화를 요청한 횟수에 해당하는 복호화 요청 횟수를 포함할 수 있다.
예시적인 실시예에 있어서, 상기 시스템 접근 아이피 어드레스가 해외 아이피 어드레스인 경우, 상기 탐지기는 상기 시스템의 부정 사용으로 판단할 수 있다.
예시적인 실시예에 있어서, 상기 시스템 접근 시간이 상기 시스템에 접근이 허용되지 않는 시간이고, 상기 복호화 요청 횟수가 미리 정해진 복호화 한계 횟수보다 큰 경우, 상기 탐지기는 상기 시스템의 부정 사용으로 판단할 수 있다.
예시적인 실시예에 있어서, 상기 시스템에 포함되는 정책들 중 접근이 허용되지 않는 정책에 대해서 상기 복호화 요청 횟수가 상기 복호화 한계 횟수보다 큰 경우, 상기 탐지기는 상기 시스템의 부정 사용으로 판단할 수 잇다.
예시적인 실시예에 있어서, 상기 암호화 및 상기 복호화의 데이터 사이즈가 미리 정해진 데이터 한계 사이즈보다 크고, 상기 암호화 요청 횟수 및 상기 복호화 요청 횟수가 미리 정해진 암호화 한계 횟수 및 복호화 한계 횟수보다 큰 경우, 상기 탐지기는 상기 시스템의 부정 사용으로 판단할 수 있다.
예시적인 실시예에 있어서, 상기 개인정보 부정사용 탐지 장치는 상기 로그 데이터에 기초하여 상기 시스템 접근 아이피 어드레스의 사용자 별로 상기 시스템에 접근하는 패턴에 해당하는 패턴 정보를 제공하는 다차원 분석기를 더 포함할 수 있다.
예시적인 실시예에 있어서, 상기 패턴 정보는 상기 사용자, 상기 시스템 접근 시간, 상기 암호화 요청 횟수, 상기 복호화 요청 횟수 및 상기 시스템에 포함되는 정책에 기초하여 결정할 수 있다.
예시적인 실시예에 있어서, 상기 패턴 정보는 상기 시스템 접근 시간, 상기 암호화 요청 횟수, 상기 복호화 요청 횟수 및 상기 시스템에 포함되는 정책 중 일부를 선택하는 차원 선택 신호에 따라 결정될 수 있다.
예시적인 실시예에 있어서, 상기 패턴 정보는 상기 시스템 접근 시간 대별 상기 암호화 요청 횟수, 상기 복호화 요청 횟수의 평균, 표준 편차 및 최대값일 수 있다.
예시적인 실시예에 있어서, 상기 패턴 정보는 미리 정해진 시간 간격으로 갱신되고, 상기 패턴 정보는 상기 다차원 분석기에 포함되는 패턴 정보 레지스터에 저장될 수 있다.
예시적인 실시예에 있어서, 상기 사용자의 상기 암호화 횟수 및 상기 복호화 횟수가 상기 최대값보다 큰 경우, 상기 다차원 분석기는 경고 메시지를 제공할 수 있다. 상기 사용자의 상기 암호화 횟수 및 상기 복호화 횟수가 상기 최대값보다 작고 상기 평균과 상기 표준 편차를 합한 값보다 큰 경우, 상기 다차원 분석기는 주의 메시지를 제공할 수 있다. 상기 사용자의 상기 암호화 횟수 및 상기 복호화 횟수가 상기 평균과 상기 표준 편차를 합한 값보다 작은 경우, 상기 다차원 분석기는 안전 메시지를 제공할 수 있다.
본 발명의 실시예들에 따른 개인정보 부정사용 탐지 장치는 탐지 조건에 따라 생성되는 조건 로그 데이터에 기초하여 시스템의 부정 사용 여부를 판단할 수 있다.
도 1은 본 발명의 실시예들에 따른 개인정보 부정사용 탐지 장치를 나타내는 블록도이다.
도 2는 도 1의 개인정보 부정사용 탐지 장치가 시스템의 부정 사용으로 판단하는 경우를 설명하기 위한 도면이다.
도 3은 도 1의 개인정보 부정사용 탐지 장치가 암/복호화 요청 횟수를 기준으로 시스템의 부정 사용으로 판단하는 경우를 설명하기 위한 도면이다.
도 4는 도 1의 개인정보 부정사용 탐지 장치가 데이터 사이즈를 기준으로 시스템의 부정 사용으로 판단하는 경우를 설명하기 위한 도면이다.
도 5는 도 1의 개인정보 부정사용 탐지 장치가 정책 별 암/복호화 요청 횟수를 기준으로 시스템의 부정 사용으로 판단하는 경우를 설명하기 위한 도면이다.
도 6은 도 1의 개인정보 부정사용 탐지 장치가 정책 별 데이터 사이즈를 기준으로 시스템의 부정 사용으로 판단하는 경우를 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시예에 따른 개인정보 부정사용 탐지 장치를 나타내는 블록도이다.
도 8 및 9는 도 7의 개인정보 부정사용 탐지 장치에 차원 선택 신호에 따른 사용자의 암호화 요청 횟수 및 복호화 요청 횟수의 예들을 나타내는 도면이다.
도 10은 도 7의 개인정보 부정사용 탐지 장치에 포함되는 다차원 분석기의 일 예를 나타내는 도면이다.
본문에 개시되어 있는 본 발명의 실시예들에 대해서, 특정한 구조적 내지 기능적 설명들은 단지 본 발명의 실시예를 설명하기 위한 목적으로 예시된 것으로, 본 발명의 실시예들은 다양한 형태로 실시될 수 있으며 본문에 설명된 실시예들에 한정되는 것으로 해석되지 않는다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로 사용될 수 있다. 예를 들어, 본 발명의 권리 범위로부터 이탈되지 않은 채 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미이다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미인 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 실시예들에 따른 개인정보 부정사용 탐지 장치를 나타내는 블록도이다.
도 1을 참조하면, 개인정보 부정사용 탐지 장치(10)는 로그 데이터 수집기(200), 조건 로그 데이터 생성기(300) 및 탐지기(400)를 포함한다. 로그 데이터 수집기(200)는 복수의 토큰 서버들로부터 제공되는 로그 데이터(LOG_D)를 수신한다. 예를 들어, 복수의 토큰 서버들은 제1 토큰 서버(110), 제2 토큰 서버(120) 및 제3 토큰 서버(130)를 포함할 수 있다. 로그 데이터 수집기(200)는 제1 토큰 서버(110)로부터 제공되는 제1 로그 데이터(LOG_D1)를 수신할 수 있다. 또한, 로그 데이터 수집기(200)는 제2 토큰 서버(120)로부터 제공되는 제2 로그 데이터(LOG_D2)를 수신할 수 있다. 동일한 방식으로, 로그 데이터 수집기(200)는 제3 토큰 서버(130)로부터 제공되는 제3 로그 데이터(LOG_D3)를 수신할 수 있다.
조건 로그 데이터 생성기(300)는 로그 데이터(LOG_D)를 미리 정해진 탐지 조건(D_C)에 따라 분리하여 조건 로그 데이터(CLOG_D)를 제공한다. 탐지기(400)는 조건 로그 데이터(CLOG_D)에 기초하여 시스템의 부정 사용 여부(DD)를 판단한다. 시스템은 개인정보 부정사용 탐지 장치(10)를 포함할 수 있다. 예를 들어, 탐지 조건(D_C)은 시스템 접근 아이피 어드레스, 시스템 접근 시간, 시스템에 암호화를 요청한 횟수에 해당하는 암호화 요청 횟수(RC_E) 및 시스템에 복호화를 요청한 횟수에 해당하는 복호화 요청 횟수(RC_D)를 포함할 수 있다. 예를 들어, 조건 로그 데이터 생성기(300)는 시스템 접근 아이피 어드레스에 따라 해외로부터 시스템에 접근하는 해외 시스템 접근 아이피 어드레스 및 국내에서 시스템에 접근하는 국내 시스템 접근 아이피 어드레스로 구분할 수 있다. 이 경우, 조건 로그 데이터(CLOG_D)는 해외 시스템 접근 아이피 어드레스 및 국내 시스템 접근 아이피 어드레스일 수 있다.
또한, 조건 로그 데이터 생성기(300)는 시스템 접근 아이피 어드레스 및 시스템 접근 시간에 따라 일정 시간 동안 다수의 국가로부터 시스템 접근이 시도되는지 판단할 수 있다. 이 경우, 일정 시간 동안 다수의 국가로부터 시스템 접근이 시도되는 아이피 어드레스 및 시간 동안 다수의 국가로부터 시스템 접근이 시도되지 않는 아이피 어드레스는 조건 로그 데이터(CLOG_D)에 포함될 수 있다. 따라서 조건 로그 데이터(CLOG_D)는 탐지 조건(D_C)에 따라 구분되는 데이터들일 수 있다.
예를 들어, 탐지 조건(D_C)에 따라서 생성되는 조건 로그 데이터(CLOG_D)를 분석하여 동일 사용자의 다중 아이피 어드레스 사용 여부를 판단할 수 있고, 탐지 조건(D_C)에 따라서 생성되는 조건 로그 데이터(CLOG_D)를 분석하여 다중 사용자의 동일 아이피 어드레스 사용 여부를 판단할 수 있고, 탐지 조건(D_C)에 따라 결정되는 아이피 어드레스의 사용 위치에 기초하여 부정 사용 여부를 판단할 수 있다. 본 발명의 실시예들에 따른 개인정보 부정사용 탐지 장치(10)는 탐지 조건(D_C)에 따라 생성되는 조건 로그 데이터(CLOG_D)에 기초하여 시스템의 부정 사용 여부를 판단할 수 있다.
도 2는 도 1의 개인정보 부정사용 탐지 장치가 시스템의 부정 사용으로 판단하는 경우를 설명하기 위한 도면이다.
도 1및 2를 참조하면, 탐지 조건(D_C)은 시스템 접근 아이피 어드레스, 시스템 접근 시간, 시스템에 암호화를 요청한 횟수에 해당하는 암호화 요청 횟수(RC_E) 및 시스템에 복호화를 요청한 횟수에 해당하는 복호화 요청 횟수(RC_D)를 포함할 수 있다.
예시적인 실시예에 있어서, 시스템 접근 아이피 어드레스(ip address)가 해외 아이피 어드레스인 경우, 탐지기(400)는 시스템의 부정 사용으로 판단할 수 있다. 예를 들어, 210.124.121.XX는 국내 아이피 어드레스일 수 있고, 72.244.64.XX는 해외 아이피 어드레스일 수 있다. 제1 토큰 서버(110)로부터 제공되는 제1 로그 데이터(LOG_D1)에 포함되는 시스템 접근 아이피 어드레스가 210.124.121.XX인 경우, 탐지기(400)는 시스템의 부정 사용으로 판단하지 않을 수 있다. 반면에, 제2 토큰 서버(120)로부터 제공되는 제2 로그 데이터(LOG_D2)에 포함되는 시스템 접근 아이피 어드레스가 72.244.64.XX 인 경우, 탐지기(400)는 시스템의 부정 사용으로 판단할 수 있다.
예시적인 실시예에 있어서, 시스템 접근 시간이 시스템에 접근이 허용되지 않는 시간이고, 복호화 요청 횟수(RC_D)가 미리 정해진 복호화 한계 횟수(DLN)보다 큰 경우, 탐지기(400)는 시스템의 부정 사용으로 판단할 수 있다. 예를 들어, 시스템에 접근이 허용되지 않는 시간은 오후 11시부터 오전 3시까지 일 수 있다. 제3 토큰 서버(130)로부터 제공되는 제3 로그 데이터(LOG_D3)에 포함되는 시스템 접근 아이피 어드레스의 시스템 접근 시간이 오후 11시 30분일 수 있다. 또한, 동일한 시스템 접근 아이피 어드레스를 이용해서 오후 11시부터 오전 3시 사이에 복호화 한계 횟수(DLN) 이상으로 시스템에 접근할 수 있다. 예를 들어, 복호화 한계 횟수(DLN)가 5일 수 있다. 동일한 시스템 접근 아이피 어드레스를 이용하여 오후 11시부터 오전 3시 사이에 6회 복호화를 요청하는 경우, 탐지기(400)는 시스템의 부정 사용으로 판단할 수 있다. 시스템에 접근이 허용되지 않는 시간은 요일, 일, 월, 년을 기준으로 설정될 수도 있다.
예시적인 실시예에 있어서, 시스템에 포함되는 정책들 중 접근이 허용되지 않는 정책에 대해서 복호화 요청 횟수(RC_D)가 복호화 한계 횟수(DLN)보다 큰 경우, 탐지기(400)는 시스템의 부정 사용으로 판단할 수 있다. 예를 들어, 시스템에 포함되는 정책들은 암호화 정책 및 복호화 정책을 포함할 수 있다. 암호화 정책은 암호화 방법이나 암호화하는 데이터의 길이등을 포함할 수 있다. 복호화 정책은 복호화 방법이나 복호화하는 데이터의 길이등을 포함할 수 있다. 정책들 중에는 보안을 위하여 접근이 허용되지 않는 정책들을 포함할 수 있다. 예를 들어, 복호화 한계 횟수(DLN)가 5일 수 있다. 동일한 시스템 접근 아이피 어드레스를 이용해서 접근이 허용되지 않는 정책에 대하여 6회 복호화를 요청하는 경우, 탐지기(400)는 시스템의 부정 사용으로 판단할 수 있다.
도 3은 도 1의 개인정보 부정사용 탐지 장치가 암/복호화 요청 횟수를 기준으로 시스템의 부정 사용으로 판단하는 경우를 설명하기 위한 도면이다.
도 3을 참조하면, 암호화 요청 횟수(RC_E) 및 복호화 요청 횟수(RC_D)가 미리 정해진 암호화 한계 횟수(ELN) 및 복호화 한계 횟수(DLN)보다 큰 경우, 탐지기(400)는 시스템의 부정 사용으로 판단할 수 있다. 예를 들어, 미리 정해진 암호화 한계 횟수(ELN)는 5일 수 있다. 동일한 시스템 접근 아이피 어드레스를 이용해서 암호화 요청 횟수(RC_E)가 3인 경우, 탐지기(400)는 시스템의 부정 사용으로 판단하지 않을 수 있다. 반면에, 동일한 시스템 접근 아이피 어드레스를 이용해서 암호화 요청 횟수(RC_E)가 7인 경우, 탐지기(400)는 상기 시스템의 부정 사용으로 판단할 수 있다. 예를 들어, 미리 정해진 복호화 한계 횟수(DLN)는 5일 수 있다. 동일한 시스템 접근 아이피 어드레스를 이용해서 복호화 요청 횟수(RC_D)가 2인 경우, 탐지기(400)는 시스템의 부정 사용으로 판단하지 않을 수 있다. 반면에, 동일한 시스템 접근 아이피 어드레스를 이용해서 암호화 요청 횟수(RC_E)가 6인 경우, 탐지기(400)는 시스템의 부정 사용으로 판단할 수 있다.
본 발명의 실시예들에 따른 개인정보 부정사용 탐지 장치(10)는 탐지 조건(D_C)에 따라 생성되는 조건 로그 데이터(CLOG_D)에 기초하여 시스템의 부정 사용 여부를 판단할 수 있다.
도 4는 도 1의 개인정보 부정사용 탐지 장치가 데이터 사이즈를 기준으로 시스템의 부정 사용으로 판단하는 경우를 설명하기 위한 도면이다.
도 4를 참조하면, 암호화 및 복호화의 데이터 사이즈(DS)가 미리 정해진 데이터 한계 사이즈(DLS)보다 큰 경우, 상기 탐지기(400)는 상기 시스템의 부정 사용으로 판단할 수 있다. 예를 들어, 미리 정해진 암호화 한계 사이즈는 100일 수 있다. 동일한 시스템 접근 아이피 어드레스에 대하여 암호화의 데이터 사이즈(DS)가 10인 경우, 상기 탐지기(400)는 상기 시스템의 부정 사용으로 판단하지 않을 수 있다. 반면에, 동일한 시스템 접근 아이피 어드레스에 대하여 암호화의 데이터 사이즈(DS)가 10000인 경우, 상기 탐지기(400)는 상기 시스템의 부정 사용으로 판단할 수 있다. 예를 들어, 미리 정해진 복호화 한계 사이즈는 150일 수 있다. 동일한 시스템 접근 아이피 어드레스에 대하여 복호화의 데이터 사이즈(DS)가 20인 경우, 상기 탐지기(400)는 상기 시스템의 부정 사용으로 판단하지 않을 수 있다. 반면에, 동일한 시스템 접근 아이피 어드레스에 대하여 복호화의 데이터 사이즈(DS)가 1000인 경우, 상기 탐지기(400)는 상기 시스템의 부정 사용으로 판단할 수 있다.
도 5는 도 1의 개인정보 부정사용 탐지 장치가 정책 별 암/복호화 요청 횟수를 기준으로 시스템의 부정 사용으로 판단하는 경우를 설명하기 위한 도면이고, 도 6은 도 1의 개인정보 부정사용 탐지 장치가 정책 별 데이터 사이즈를 기준으로 시스템의 부정 사용으로 판단하는 경우를 설명하기 위한 도면이다.
도 5를 참조하면, 특정 정책에 대하여 암호화 요청 횟수(RC_E) 및 복호화 요청 횟수(RC_D)가 미리 정해진 암호화 한계 횟수(ELN) 및 복호화 한계 횟수(DLN)보다 큰 경우, 탐지기(400)는 상기 시스템의 부정 사용으로 판단할 수 있다. 또한, 특정 정책에 대하여 암호화 요청 횟수(RC_E) 및 복호화 요청 횟수(RC_D)가 미리 정해진 암호화 한계 횟수(ELN) 및 복호화 한계 횟수(DLN)보다 작은 경우, 탐지기(400)는 시스템의 부정 사용으로 판단하지 않을 수 있다.
도 6을 참조하면, 특정 정책에 대하여 암호화 및 복호화의 데이터 사이즈(DS)가 미리 정해진 데이터 한계 사이즈(DLS)보다 큰 경우, 탐지기(400)는 시스템의 부정 사용으로 판단할 수 있다. 또한, 특정 정책에 대하여 암호화 및 복호화의 데이터 사이즈(DS)가 미리 정해진 데이터 한계 사이즈(DLS)보다 작은 경우, 탐지기(400)는 시스템의 부정 사용으로 판단하지 않을 수 있다.
본 발명의 실시예들에 따른 개인정보 부정사용 탐지 장치(10)는 탐지 조건(D_C)에 따라 생성되는 조건 로그 데이터(CLOG_D)에 기초하여 시스템의 부정 사용 여부를 판단할 수 있다.
도 7은 본 발명의 일 실시예에 따른 개인정보 부정사용 탐지 장치를 나타내는 블록도이고, 도 8 및 9는 도 7의 개인정보 부정사용 탐지 장치에 차원 선택 신호에 따른 사용자의 암호화 요청 횟수 및 복호화 요청 횟수의 예들을 나타내는 도면이다.
도 7내지 9를 참조하면, 개인정보 부정사용 탐지 장치(10)는 로그 데이터 수집기(200), 조건 로그 데이터 생성기(300) 및 탐지기(400)를 포함한다. 로그 데이터 수집기(200)는 복수의 토큰 서버들로부터 제공되는 로그 데이터(LOG_D)를 수신한다. 조건 로그 데이터 생성기(300)는 로그 데이터(LOG_D)를 미리 정해진 탐지 조건(D_C)에 따라 분리하여 조건 로그 데이터(CLOG_D)를 제공한다. 탐지기(400)는 조건 로그 데이터(CLOG_D)에 기초하여 시스템의 부정 사용 여부를 판단한다.
예시적인 실시예에 있어서, 개인정보 부정사용 탐지 장치(10)는 로그 데이터(LOG_D)에 기초하여 시스템 접근 아이피 어드레스의 사용자 별로 시스템에 접근하는 패턴에 해당하는 패턴 정보(PA_I)를 제공하는 다차원 분석기(500)를 더 포함할 수 있다. 예시적인 실시예에 있어서, 패턴 정보(PA_I)는 사용자, 시스템 접근 시간, 암호화 요청 횟수(RC_E), 복호화 요청 횟수(RC_D) 및 시스템에 포함되는 정책에 기초하여 결정할 수 있다.
예시적인 실시예에 있어서, 패턴 정보(PA_I)는 시스템 접근 시간, 암호화 요청 횟수(RC_E), 복호화 요청 횟수(RC_D) 및 시스템에 포함되는 정책 중 일부를 선택하는 차원 선택 신호(DS_S)에 따라 결정될 수 있다. 예를 들어, 차원 선택 신호(DS_S)가 제1 선택 신호인 경우, 패턴 정보(PA_I)는 시스템 접근 시간, 암호화 요청 횟수(RC_E) 및 복호화 요청 횟수(RC_D)에 기초하여 결정될 수 있다. 또한, 차원 선택 신호(DS_S)가 제2 선택 신호인 경우, 패턴 정보(PA_I)는 시스템 접근 시간, 암호화 요청 횟수(RC_E), 복호화 요청 횟수(RC_D) 및 정책에 기초하여 결정될 수 있다.
예시적인 실시예에 있어서, 패턴 정보(PA_I)는 시스템 접근 시간 대별 암호화 요청 횟수(RC_E), 복호화 요청 횟수(RC_D)의 평균, 표준 편차 및 최대값일 수 있다. 패턴 정보(PA_I)는 제1 시간 간격 동안의 사용자, 시스템 접근 시간, 암호화 요청 횟수(RC_E) 및 복호화 요청 횟수(RC_D)에 대한 정보에 기초하여 결정될 수 있다.
패턴 정보(PA_I)는 매 시간 단위로 계산될 수 있다. 예를 들어, 사용자가 매일 오후 1시에 암호화 요청 횟수(RC_E)의 평균은 패턴 정보(PA_I)에 포함될 수 있고, 사용자가 매일 오후 1시에 암호화 요청 횟수(RC_E)의 표준 편차는 패턴 정보(PA_I)에 포함될 수 있고, 사용자가 매일 오후 1시에 암호화 요청 횟수(RC_E)의 최대값은 패턴 정보(PA_I)에 포함될 수 있다. 또한, 사용자가 매일 오후 1시에 복호화 요청 횟수(RC_D)의 평균은 패턴 정보(PA_I)에 포함될 수 있고, 사용자가 매일 오후 1시에 복호화 요청 횟수(RC_D)의 표준 편차는 패턴 정보(PA_I)에 포함될 수 있고, 사용자가 매일 오후 1시에 복호화 요청 횟수(RC_D)의 최대값은 패턴 정보(PA_I)에 포함될 수 있다.
패턴 정보(PA_I)는 매일 단위로 계산될 수 있다. 예를 들어, 사용자가 매월 10일에 암호화 요청 횟수(RC_E)의 평균은 패턴 정보(PA_I)에 포함될 수 있고, 사용자가 매월 10일에 암호화 요청 횟수(RC_E)의 표준 편차는 패턴 정보(PA_I)에 포함될 수 있고, 사용자가 매월 10일에 암호화 요청 횟수(RC_E)의 최대값은 패턴 정보(PA_I)에 포함될 수 있다. 또한, 사용자가 매월 10일에 복호화 요청 횟수(RC_D)의 평균은 패턴 정보(PA_I)에 포함될 수 있고, 사용자가 매월 10일에 복호화 요청 횟수(RC_D)의 표준 편차는 패턴 정보(PA_I)에 포함될 수 있고, 사용자가 매월 10일에 복호화 요청 횟수(RC_D)의 최대값은 패턴 정보(PA_I)에 포함될 수 있다.
패턴 정보(PA_I)는 매 요일 단위로 계산될 수 있다. 예를 들어, 사용자가 매주 월요일에 암호화 요청 횟수(RC_E)의 평균은 패턴 정보(PA_I)에 포함될 수 있고, 사용자가 매주 월요일에 암호화 요청 횟수(RC_E)의 표준 편차는 패턴 정보(PA_I)에 포함될 수 있고, 사용자가 매주 월요일에 암호화 요청 횟수(RC_E)의 최대값은 패턴 정보(PA_I)에 포함될 수 있다. 또한, 사용자가 매주 월요일에 복호화 요청 횟수(RC_D)의 평균은 패턴 정보(PA_I)에 포함될 수 있고, 사용자가 매주 월요일에 복호화 요청 횟수(RC_D)의 표준 편차는 패턴 정보(PA_I)에 포함될 수 있고, 사용자가 매주 월요일에 복호화 요청 횟수(RC_D)의 최대값은 패턴 정보(PA_I)에 포함될 수 있다.
도 10은 도 7의 개인정보 부정사용 탐지 장치에 포함되는 다차원 분석기의 일 예를 나타내는 도면이다.
도 10을 참조하면, 패턴 정보(PA_I)는 미리 정해진 시간 간격으로 갱신되고, 패턴 정보(PA_I)는 다차원 분석기(500)에 포함되는 패턴 정보 레지스터(510)에 저장될 수 있다.
예시적인 실시예에 있어서, 사용자의 암호화 횟수 및 복호화 횟수가 최대값보다 큰 경우, 다차원 분석기(500)는 경고 메시지(M_D)를 제공할 수 있다. 사용자의 암호화 횟수 및 복호화 횟수가 최대값보다 작고 평균과 표준 편차를 합한 값보다 큰 경우, 다차원 분석기(500)는 주의 메시지(M_D)를 제공할 수 있다. 사용자의 암호화 횟수 및 복호화 횟수가 평균과 표준 편차를 합한 값보다 작은 경우, 다차원 분석기(500)는 안전 메시지(M_D)를 제공할 수 있다. 본 발명의 실시예들에 따른 개인정보 부정사용 탐지 장치(10)는 탐지 조건(D_C)에 따라 생성되는 조건 로그 데이터(CLOG_D)에 기초하여 시스템의 부정 사용 여부를 판단할 수 있다.
본 발명의 실시예들에 따른 개인정보 부정사용 탐지 장치는 탐지 조건에 따라 생성되는 조건 로그 데이터에 기초하여 시스템의 부정 사용 여부를 판단할 수 있어 다양한 보안 시스템에 적용될 수 있다.
상기에서는 본 발명이 바람직한 실시예를 참조하여 설명하였지만, 해당 기술분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 것이다.

Claims (12)

  1. 복수의 토큰 서버들로부터 제공되는 로그 데이터를 수신하는 로그 데이터 수집기;
    상기 로그 데이터를 미리 정해진 탐지 조건에 따라 분리하여 조건 로그 데이터를 제공하는 조건 로그 데이터 생성기; 및
    상기 조건 로그 데이터에 기초하여 시스템의 부정 사용 여부를 판단하는 탐지기를 포함하는 개인정보 부정사용 탐지 장치.
  2. 제1 항에 있어서,
    상기 탐지 조건은 시스템 접근 아이피 어드레스, 시스템 접근 시간, 상기 시스템에 암호화를 요청한 횟수에 해당하는 암호화 요청 횟수 및 상기 시스템에 복호화를 요청한 횟수에 해당하는 복호화 요청 횟수를 포함하는 것을 특징으로 하는 개인정보 부정사용 탐지 장치.
  3. 제2 항에 있어서,
    상기 시스템 접근 아이피 어드레스가 해외 아이피 어드레스인 경우, 상기 탐지기는 상기 시스템의 부정 사용으로 판단하는 것을 특징으로 하는 개인정보 부정사용 탐지 장치.
  4. 제3 항에 있어서,
    상기 시스템 접근 시간이 상기 시스템에 접근이 허용되지 않는 시간이고, 상기 복호화 요청 횟수가 미리 정해진 복호화 한계 횟수보다 큰 경우, 상기 탐지기는 상기 시스템의 부정 사용으로 판단하는 것을 특징으로 하는 개인정보 부정사용 탐지 장치.
  5. 제4 항에 있어서,
    상기 시스템에 포함되는 정책들 중 접근이 허용되지 않는 정책에 대해서 상기 복호화 요청 횟수가 상기 복호화 한계 횟수보다 큰 경우, 상기 탐지기는 상기 시스템의 부정 사용으로 판단하는 것을 특징으로 하는 개인정보 부정사용 탐지 장치.
  6. 제5 항에 있어서,
    상기 암호화 및 상기 복호화의 데이터 사이즈가 미리 정해진 데이터 한계 사이즈보다 크고, 상기 암호화 요청 횟수 및 상기 복호화 요청 횟수가 미리 정해진 암호화 한계 횟수 및 복호화 한계 횟수보다 큰 경우, 상기 탐지기는 상기 시스템의 부정 사용으로 판단하는 것을 특징으로 하는 개인정보 부정사용 탐지 장치.
  7. 제2 항에 있어서, 상기 개인정보 부정사용 탐지 장치는,
    상기 로그 데이터에 기초하여 상기 시스템 접근 아이피 어드레스의 사용자 별로 상기 시스템에 접근하는 패턴에 해당하는 패턴 정보를 제공하는 다차원 분석기를 더 포함하는 것을 특징으로 하는 개인정보 부정사용 탐지 장치.
  8. 제7 항에 있어서,
    상기 패턴 정보는 상기 사용자, 상기 시스템 접근 시간, 상기 암호화 요청 횟수, 상기 복호화 요청 횟수 및 상기 시스템에 포함되는 정책에 기초하여 결정되는 것을 특징으로 하는 개인정보 부정사용 탐지 장치.
  9. 제8 항에 있어서,
    상기 패턴 정보는 상기 시스템 접근 시간, 상기 암호화 요청 횟수, 상기 복호화 요청 횟수 및 상기 시스템에 포함되는 정책 중 일부를 선택하는 차원 선택 신호에 따라 결정되는 것을 특징으로 하는 개인정보 부정사용 탐지 장치.
  10. 제9 항에 있어서,
    상기 패턴 정보는 상기 시스템 접근 시간 대별 상기 암호화 요청 횟수, 상기 복호화 요청 횟수의 평균, 표준 편차 및 최대값인 것을 특징으로 하는 개인정보 부정사용 탐지 장치.
  11. 제10 항에 있어서,
    상기 패턴 정보는 미리 정해진 시간 간격으로 갱신되고, 상기 패턴 정보는 상기 다차원 분석기에 포함되는 패턴 정보 레지스터에 저장되는 것을 특징으로 하는 개인정보 부정사용 탐지 장치.
  12. 제11 항에 있어서,
    상기 사용자의 상기 암호화 횟수 및 상기 복호화 횟수가 상기 최대값보다 큰 경우, 상기 다차원 분석기는 경고 메시지를 제공하고,
    상기 사용자의 상기 암호화 횟수 및 상기 복호화 횟수가 상기 최대값보다 작고 상기 평균과 상기 표준 편차를 합한 값보다 큰 경우, 상기 다차원 분석기는 주의 메시지를 제공하고,
    상기 사용자의 상기 암호화 횟수 및 상기 복호화 횟수가 상기 평균과 상기 표준 편차를 합한 값보다 작은 경우, 상기 다차원 분석기는 안전 메시지를 제공하는 것을 특징으로 하는 개인정보 부정사용 탐지 장치.
KR1020150064461A 2015-05-08 2015-05-08 개인정보 부정사용 탐지 장치 KR101678179B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150064461A KR101678179B1 (ko) 2015-05-08 2015-05-08 개인정보 부정사용 탐지 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150064461A KR101678179B1 (ko) 2015-05-08 2015-05-08 개인정보 부정사용 탐지 장치

Publications (2)

Publication Number Publication Date
KR20160131619A true KR20160131619A (ko) 2016-11-16
KR101678179B1 KR101678179B1 (ko) 2016-11-21

Family

ID=57537845

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150064461A KR101678179B1 (ko) 2015-05-08 2015-05-08 개인정보 부정사용 탐지 장치

Country Status (1)

Country Link
KR (1) KR101678179B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200088194A (ko) * 2019-01-14 2020-07-22 펜타시큐리티시스템 주식회사 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치
US11057425B2 (en) 2019-11-25 2021-07-06 Korea Internet & Security Agency Apparatuses for optimizing rule to improve detection accuracy for exploit attack and methods thereof
KR20230113121A (ko) 2022-01-21 2023-07-28 한양대학교 산학협력단 헤테로아릴 유도체 및 이의 용도

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002318734A (ja) * 2001-04-18 2002-10-31 Teamgia:Kk 通信ログ処理方法及びシステム
JP4575190B2 (ja) * 2005-02-24 2010-11-04 三菱電機株式会社 監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラム
JP5179792B2 (ja) * 2007-07-13 2013-04-10 株式会社日立システムズ 操作検知システム
KR101278971B1 (ko) * 2011-04-12 2013-07-30 주식회사 위즈디엔에스코리아 내부정보 부정 사용 차단 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002318734A (ja) * 2001-04-18 2002-10-31 Teamgia:Kk 通信ログ処理方法及びシステム
JP4575190B2 (ja) * 2005-02-24 2010-11-04 三菱電機株式会社 監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラム
JP5179792B2 (ja) * 2007-07-13 2013-04-10 株式会社日立システムズ 操作検知システム
KR101278971B1 (ko) * 2011-04-12 2013-07-30 주식회사 위즈디엔에스코리아 내부정보 부정 사용 차단 시스템 및 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200088194A (ko) * 2019-01-14 2020-07-22 펜타시큐리티시스템 주식회사 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치
US11057425B2 (en) 2019-11-25 2021-07-06 Korea Internet & Security Agency Apparatuses for optimizing rule to improve detection accuracy for exploit attack and methods thereof
KR20230113121A (ko) 2022-01-21 2023-07-28 한양대학교 산학협력단 헤테로아릴 유도체 및 이의 용도

Also Published As

Publication number Publication date
KR101678179B1 (ko) 2016-11-21

Similar Documents

Publication Publication Date Title
US10211978B2 (en) Data security in a disconnected environment
CN101444063B (zh) 用于无线设备的安全时间功能
US20060174346A1 (en) Instrumentation for alarming a software product
US20080092244A1 (en) Method For Restricting Content Usage In Digital Rights Management
KR20130118335A (ko) 컴퓨터 기반 시스템의 무결성을 모니터하고 보안을 강화하기 위한 전력 핑거프린팅(pfp)의 이용
KR101678179B1 (ko) 개인정보 부정사용 탐지 장치
US9197657B2 (en) Internet protocol address distribution summary
KR20130126800A (ko) 캡춰 영상의 프라이버시 보호를 위한 이미지 처리 방법 및 이미지 처리 장치
US11070876B2 (en) Security monitoring with attack detection in an audio/video processing device
CN112217835A (zh) 报文数据的处理方法、装置、服务器和终端设备
US10462170B1 (en) Systems and methods for log and snort synchronized threat detection
CN111478910A (zh) 用户身份验证方法和装置、电子设备以及存储介质
CN103593604A (zh) 多安全-cpu系统
US11310278B2 (en) Breached website detection and notification
CN105656843B (zh) 基于验证的应用层防护方法、装置及网络设备
CN111767537A (zh) 基于ios操作系统的应用程序的篡改校验方法及相关设备
KR101451782B1 (ko) 마우스 움직임 패턴 기반의 사용자 인증 시스템 및 그 방법
CN102945254A (zh) 在tb级海量审计数据中发现异常数据的方法
CN105404796A (zh) 一种JavaScript源文件保护的方法及装置
US8353032B1 (en) Method and system for detecting identity theft or unauthorized access
US8819815B1 (en) Method and system for distributing and tracking information
KR20070090460A (ko) 컴퓨터·네트워크 통합 포렌식스 시스템
JP5454166B2 (ja) アクセス判別プログラム、装置、及び方法
KR101566882B1 (ko) 암호화된 데이터베이스 모니터링과, 대량 복호화 차단을 위한 시스템 및 그 방법
Lee et al. A Study on a Scenario-based Information Leakage Risk Response Model Associated with the PC Event Detection Function and Security Control Procedures

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant