KR20170082937A - 개인화된 접속주기 전체 이용행위 2차 분석을 이용한 비정상 행위 탐지시스템 - Google Patents

개인화된 접속주기 전체 이용행위 2차 분석을 이용한 비정상 행위 탐지시스템 Download PDF

Info

Publication number
KR20170082937A
KR20170082937A KR1020160002290A KR20160002290A KR20170082937A KR 20170082937 A KR20170082937 A KR 20170082937A KR 1020160002290 A KR1020160002290 A KR 1020160002290A KR 20160002290 A KR20160002290 A KR 20160002290A KR 20170082937 A KR20170082937 A KR 20170082937A
Authority
KR
South Korea
Prior art keywords
behavior
analysis
unit
abnormal
detection
Prior art date
Application number
KR1020160002290A
Other languages
English (en)
Inventor
김환국
김태은
조창민
나사랑
전지수
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020160002290A priority Critical patent/KR20170082937A/ko
Priority to US15/006,381 priority patent/US20170201531A1/en
Publication of KR20170082937A publication Critical patent/KR20170082937A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/68Gesture-dependent or behaviour-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)
  • Technology Law (AREA)

Abstract

본 발명에 따른 비정상 행위 탐지 시스템의 비정상 탐지부는 BYOD(Bring Your Own Device) 및 스마트워크 환경에서, 상황정보 수집 시스템으로부터 소정의 상황정보가 수신되면, 접속 주기 전체의 이용행위 패턴분석을 통해 전체 접속 주기 동안 발생한 동일한 접속 상황에서의 행위 빈도를 분석하여 비정상 이용행위를 탐지하는 장치로서, 상기 전달된 탐지요청 메시지를 분류하여 비정상 행위 분석모듈의 각 분석부로 전달하는 탐지요청 분류모듈과, 접속 주기 전체의 이용행위 패턴분석 절차를 통해, 현재 접속 중 이용행위 빈도와 과거 접속의 이용행위 평균의 '전체행위 항목의 변화량 탐지'와 '개별행위 항목의 변화량 탐지'를 수행하여 상기 웹서비스 이용의 비정상 여부를 분석하는 비정상 행위 분석모듈과, 상기 비정상 행위 분석모듈의 분석결과가 저장되면, 그에 따른 정상 혹은 비정상의 탐지결과 정보를 생성하고, 통제 시스템측으로 전달하는 비정상 행위 탐지모듈을 포함하여 구성되며, 상기 비정상 행위 분석모듈은 접속 주기 전체의 이용행위에 관한 패턴을 분석하는 1차 분석을 수행하고, 상기 1차 분석이 의심의 결과값을 생성하는 경우 서비스 이용속도에 기반하는 2차 분석을 수행하는 전체 이용행위 분석부를 포함하여 구성된다.
본 발명에 따른 비정상 행위 탐지시스템은 BYOD 및 스마트워크 환경에서의 시스템 보안성을 향상시키기 위한 것으로, 상황 정보를 접속, 이용 및 에이젼트 상황 정보와 프로파일 정보로 가공한 후, 개인화된 접속주기 전체 이용행위 패턴을 분석하는 1차 분석과 서비스 이용속도에 기반하는 2차 분석을 수행하여 비정상 행위 탐지에 관한 수행능력을 향상시켰다.

Description

개인화된 접속주기 전체 이용행위 2차 분석을 이용한 비정상 행위 탐지시스템{SYSTEM FOR DETECTING ABNOMAL BEHAVIORS USING PERSONALIZED THE WHOLE ACCESS PERIOD USE BEHAVIOR SECOND ANALYSIS}
본 발명은 BYOD 및 스마트워크 환경에서 내부 자원을 보호하는 시스템에 관한 것으로, 특히, BYOD 및 스마트워크 환경의 비정상 행위 탐지시스템에 관한 것이다.
인터넷 인프라의 보급과 이동통신의 발전은 우리 사회에 하나의 변혁이라고도 볼 수 있는 커다란 변화를 가져왔다. 특히 스마트 폰과 같은 모바일 기기는 단순한 통신 수단의 의미를 넘어 우리생활에 깊숙이 자리잡게 되었다. 이러한 추세는 우리의 직장업무로 확산되어 BYOD(Bring Your Own Device)라는 개념의 새로운 업무환경을 등장시켰다. BYOD는 개인 기기를 업무에 활용하는 개념으로, 스마트폰, 랩탑, 태블릿 등 개인 소유의 이동기기로 회사 내 데이터베이스와 애플리케이션 등의 회사내부의 IT 리소스에 접근하여 업무를 처리하는 기술, 개념, 정책 전반을 일컫는다. BYOD는 기업의 입장에서 보다 효율적인 업무 처리를 통해 업무의 신속성, 효율성, 생산성을 기대할 수 있고, 더불어 개인 기기를 활용하기 때문에 별도의 업무 기기 지급을 위한 경제적인 부담도 없다. 때문에 많은 기업들이 BYOD를 성공적으로 도입하기 위해 고민하고 있으며, 한편 사용자들은 기업에서 준비가 되기도 전에 이미 개인 기기를 업무에 활용하는 것으로 나타났다.
새로운 IT 환경인 BYOD 및 스마트워크 환경은 무선 인터넷 환경 구축과 태블릿 PC, 스마트폰등 스마트 기기의 대중화, 데스크탑 가상화와 클라우드 서비스의 활용 증가, 실시간 커뮤니케이션과 업무 연속성의 중시 등으로 그 환경 형성을 가속화시켰다.
그리고, BYOD 시대가 도래하면서 기업 내부인프라가 폐쇄적 환경에서 개방적 환경으로 전환되고 있다. 언제 어디서나 개인 기기의 기업 인프라 접근이 허용되고 있는 것이다.
기업 내부에서 무선 공유기(AP), 스위치 등을 통해서 개인 기기의 기업 인프라 접근이 가능하며, 이동통신망, 공개 와이파이(Wi-Fi), VPN 등을 통해 기업외부로부터 개인 기기를 통하여 기업 인프라에 접근할 수도 있다.
이와 같이, 개방적 환경으로의 변화는 업무 연속성과 편의성를 획득한 반면, 이전에는 생각지 못했던 보안 위협 또한 다수 발생할 수 있다. 무엇보다도, 개인 기기들이 기업 내부 인프라에 접근함에 따라 기업 내부 데이터가 유출될 수 있는 위험이 크다. 즉, 개인 기기의 분실이나 도난 등에 의해 기업 내부 데이터의 유출 발생 가능성이 있고, 악성코드에 감염된 개인용 기기의 내부 인트라넷 접속으로 인한 기업 IT 자산이 위협 받을 수도 있다.
이러한 문제점들을 해결하기 위해, 한국인터넷진흥원은 종래, 개인화된 접속주기 전체 이용행위 패턴분석을 이용한 비정상 행위 탐지시스템(한국공개특허 제10-2015-0000989호, 이하 '선행문헌'이라 함)을 구현하였다.
그러나, 선행문헌은 '전체행위 항목의 변화량과 개별행위 항목의 변화량을 탐지하여 사용자 이용행위의 정상 여부 판정하는 과정에서, 정상 범위를 산정하는데 한계를 보였다. 사용자 이용행위의 비정상 여부를 판정하는 과정이 다소 미흡하고 효과적이지 못했다. 이러한 종래의 문제점을 보완하고, 비정상 행위 탐지에 관한 수행능력을 향상시킬 수 있는 추가적인 분석 알고리즘이 요구된다.
한국공개특허 제10-2015-0000989(발명의 명칭: 개인화된 접속주기 전체 이용행위 패턴분석을 이용한 비정상 행위 탐지시스템)
본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, 디바이스(Device) 비정상 접속을 탐지하고 실시간 비정상 이용행위를 탐지하기 위해, BYOD 및 스마트워크 환경의 상황정보를 가공하고 사용자별 프로파일을 구성하고 이를 기반으로 비정상 행위 탐지 시스템을 제공하는데 그 목적이 있다.
본 발명의 다른 목적은 접속 주기 전체의 이용행위 패턴분석을 통해 전체 접속 주기 동안 발생한 동일한 접속 상황에서의 행위 빈도를 분석하고, 개인화된 접속주기 전체 이용행위 패턴을 분석하는 1차 분석과 서비스 이용속도에 기반하는 2차 분석을 이용하여 비정상 이용행위를 탐지하는 비정상 행위 탐지 시스템을 제공하는데 있다.
본 발명의 부가적인 특성 및 이점들은 아래의 설명에 기재될 것이며, 부분적으로는 상기 설명에 의해 명백해지거나 본 발명의 실행을 통해 숙지될 것이다. 본 발명의 목표 및 다른 이점들은 특히 아래 기재된 설명 및 부가된 도면뿐만 아니라 청구항에서 지적한 구조에 의해 구현될 것이다.
본 발명은, 네트워크 트래픽 분석을 통한 기존의 네트워크 기반의 보안 장비와 달리, 대상 객체의 시간, 위치, 접속 네트워크, 사용 기기 등 다양한 행위 요소를 기반으로 행위를 패턴화하여 비정상 행위를 탐지하는 방안을 구현하였다.
본 발명에 따른 비정상 행위 탐지시스템은 BYOD 및 스마트워크 환경에서의 시스템 보안성을 향상시키기 위한 것으로, 상황 정보를 접속, 이용 및 에이젼트 상황 정보와 프로파일 정보로 가공한 후, 개인화된 접속주기 전체 이용행위 패턴을 분석하는 1차 분석과 서비스 이용속도에 기반하는 2차 분석을 수행하여 비정상 행위 탐지에 관한 수행능력을 향상시켰다.
본 발명은, 비정상 접근/이용 행위 탐지를 위해, 업무 시나리오 상에서 발생 가능한 비정형적인 데이터 즉, 사용 기기의 유형, 접속 시간(예: 일과시간, 일과 외 시간 등), 접속 위치(사내, 사외 등), 이용 시간 등을 사용자 행위 패턴으로 활용함으로써, BYOD 및 스마트워크 환경에서 시스템 보안성을 향상시켰다.
도1은 BYOD 및 스마트워크 환경을 나타낸 예시도.
도2는 본 발명에 따른 비정상 행위 탐지시스템의 블록 구성도.
도3은 본 발명에 따른 비정상 탐지부의 블록 구성도.
도4는 본 발명에 따른 상황정보 처리부의 동작 흐름도.
도5a는 본 발명에 따른 전체 이용행위 1차 분석부의 블록 구성도.
도5b는 본 발명에 따른 전체 이용행위 2차 분석부의 블록 구성도.
도6은 본 발명에 따른 이용행위 분석부의 블록 구성도.
도7은 본 발명에 따른 비정상 탐지부의 동작 흐름도.
도8은 본 발명에 따른 전체 이용행위 분석부의 전체 이용행위 2차 분석에 관한 동작 흐름도.
도9a는 접속 주기 전체 이용행위의 패턴 분석 및 탐지를 위한 과거 행위정보의 가공테이블에 관한 도면.
도9b는 접속 주기 전체 이용행위의 패턴 분석 및 탐지를 위한 현재 발생 상황정보의 가공테이블에 관한 도면.
도10a 내지 도10b는 본 발명의 전체 이용행위 2차 분석을 위한 현재 발생 상황정보의 가공테이블을 예시한 도면.
도10c 내지 도10d는 본 발명의 전체 이용행위 2차 분석을 위한 프로파일 즉, 과거 행위정보의 가공테이블을 예시한 도면.
도11은 본 발명에 따른 접속 주기 전체 이용행위 패턴분석 및 탐지의 동작 예시도.
도12는 현재의 상황정보와 과거의 이용행위별 발생확률과 그 오차를 나타낸 그래프.
도13은 개별 서비스 항목당 서비스 이용량과 이용시간을 예시한 도면.
도14는 N개의 과거 프로파일 데이터와 그 데이터들을 나타낸 그래프.
도15의 a)는 본 발명에 따라 수집된 과거 프로파일 데이터를 정리한 테이블.
도15의 b)는 a)에 개시된 프로파일 데이터 테이블의 회귀직선을 나타낸 그래프.
상기한 바와 같은 본 발명의 목적을 달성하기 위하여, 본 발명에 따른 비정상 행위 탐지 시스템의 비정상 탐지부는 BYOD(Bring Your Own Device) 및 스마트워크 환경에서, 상황정보 수집 시스템으로부터 소정의 상황정보가 수신되면, 접속 주기 전체의 이용행위 패턴분석을 통해 전체 접속 주기 동안 발생한 동일한 접속 상황에서의 행위 빈도를 분석하여 비정상 이용행위를 탐지하는 장치로서,
상기 전달된 탐지요청 메시지를 분류하여 비정상 행위 분석모듈의 각 분석부로 전달하는 탐지요청 분류모듈과, 접속 주기 전체의 이용행위 패턴분석 절차를 통해, 현재 접속 중 이용행위 빈도와 과거 접속의 이용행위 평균의 '전체행위 항목의 변화량 탐지'와 '개별행위 항목의 변화량 탐지'를 수행하여 상기 웹서비스 이용의 비정상 여부를 분석하는 비정상 행위 분석모듈과, 상기 비정상 행위 분석모듈의 분석결과가 저장되면, 그에 따른 정상 혹은 비정상의 탐지결과 정보를 생성하고, 통제 시스템측으로 전달하는 비정상 행위 탐지모듈을 포함하여 구성되며, 상기 비정상 행위 분석모듈은 접속 주기 전체의 이용행위에 관한 패턴을 분석하는 1차 분석을 수행하고, 상기 1차 분석이 의심의 결과값을 생성하는 경우 서비스 이용속도에 기반하는 2차 분석을 수행하는 전체 이용행위 분석부를 포함하여 구성된다.
바람직하게, 제1항에 있어서, 상기 전체 이용행위 분석부는 접속 주기 전체의 이용행위에 관한 패턴을 분석하는 1차 분석을 수행하는 전체 이용행위 1차 분석부와, 상기 1차 분석 결과, 상기 전체 이용행위 1차 분석부가 의심의 결과값을 출력하는 경우 서비스 이용속도에 기반하는 2차 분석을 수행하는 전체 이용행위 2차 분석부를 포함하여 구성되는 것을 특징으로 한다.
바람직하게, 상기 전체 이용행위 1차 분석부는 이용 가공정보를 조회하는 이용행위 조회부와, 현재 가공정보에서 전체 접속주기 동안 발생한 이용행위의 빈도를 검출하는 제1빈도 분석부와, 해당 사용자의 과거 프로파일 정보를 조회하는 프로파일 조회부와, 과거 동일한 접속 상황에서의 사용자의 행위 빈도를 검출하는 제2빈도 분석부와, 상기 '전체행위 항목의 변화량 탐지'를 위해, 먼저 각 행위별 오차값을 계산하고, 상기 계산된 오차값에 따라 현재 사용자 이용행위의 비정상 여부를 판정하고, 상기 '개별행위 항목의 변화량 탐지'를 위해, 상기 개별 항목별 변화량으로서 현재 사용자 이용행위의 비정상 여부를 판정하는 이용행위 비교부를 포함하여 구성되는 것을 특징으로 한다.
바람직하게, 상기 전체 이용행위 2차 분석부는 현재 사용자의 서비스 이용행위 수를 검출하는 서비스 이용횟수 검출부와, 현재 사용자의 서비스 이용시간을 검출하는 서비스 이용시간 검출부와, 저장부에 저장된 프로파일 데이터들을 로드하여, 사용자의 과거 서비스 이용행위 수를 검출하는 과거 서비스 이용횟수 조회부와, 상기 저장부에 저장된 프로파일 데이터들을 로드하여, 사용자의 과거 서비스 이용시간을 검출하는 과거 서비스 이용시간 조회부와, 회귀분석을 통해 현재 서비스 이용속도와 과거 서비스 이용속도를 비교하여, 현재 사용자의 이용행위 정상인지 여부를 판정하는 이용행위 분석부를 포함하여 구성되는 것을 특징으로 한다.
바람직하게, 상기 이용행위 분석부는 N개의 과거 프로파일 데이터를 수집하는 데이터 수집부와, 사용자의 이용속도를 분석할 수 있도록, 상기 수집된 프로파일 데이터에 관한 회귀직선을 생성하는 회귀직선 생성부와, 상기 회귀직선에 기초한 평균 잔차r을 구하여, 현재 서비스 이용속도와 과거 서비스 이용속도 간의 잔차(ri)의 정상범위를 설정하는 정상범위 설정부와, 잔차ri을 구하고 상기 정상범위에 속하는지 여부를 확인하는 이용속도 비교부와, 상기 잔차ri가 상기 정상범위에 속하는지 여부에 따라, 현재 사용자의 이용행위를 정상 혹은 비정상으로 판정하는 정상여부 판정부를 포함하여 구성되는 것을 특징으로 한다.
상기한 바와 같은 본 발명의 목적을 달성하기 위하여, 본 발명에 따른 비정상 탐지부의 비정상 행위 탐지방법은 BYOD(Bring Your Own Device) 및 스마트워크 환경에서, 상황정보 수집 시스템으로부터 소정의 상황정보가 수신되면, 접속 주기 전체의 이용행위 패턴분석을 통해 전체 접속 주기 동안 발생한 동일한 접속 상황에서의 행위 빈도를 분석하여 비정상 이용행위를 탐지하는 방법에 관한 것으로,
탐지요청 분류모듈이 상기 전달된 탐지요청 메시지를 분류하여 비정상 행위 분석모듈의 각 분석부로 전달하는 과정과, 비정상 행위 분석모듈이 접속 주기 전체의 이용행위에 관한 패턴을 분석하는 전체 이용행위 1차 분석을 통해, 현재 접속 중 이용행위 빈도와 과거 접속의 이용행위 평균의 '전체행위 항목의 오차값 변화량 탐지'와 '개별행위 항목의 오차값 변화량 탐지'를 수행하여 상기 웹서비스 이용의 비정상 여부를 분석하는 과정과, 상기 비정상 행위 분석모듈의 분석결과가 저장되면, 비정상 행위 탐지모듈이 그에 따른 정상 혹은 비정상의 탐지결과 정보를 생성하고, 통제 시스템측으로 전달하는 과정을 포함하여 이루어지며, 상기 비정상 행위 분석모듈은, 상기 전체 이용행위 1차 분석이 의심의 결과값을 생성했을 경우 서비스 이용속도에 기반하는 전체 이용행위 2차 분석을 수행한다.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
BYOD 및 스마트워크 서비스는 기업 내부 서비스에 접속/이용하는 사용자의 상황정보를 분석하여 실시간으로 사용자 행위의 비정상 여부를 판단하고, 필요시 해당 사용자의 접속/이용을 제어할 수 있다. 본 발명에 따른 비정상 행위 탐지 시스템은 사전에 축적된 정상 프로파일 또는 사전에 설정된 보안 정책, 현재 발생 중인 행위를 기반으로 사용자 행위의 비정상 여부를 판단한다.
상기 상황정보는 수집시스템에서 수집되어 상기 비정상 행위 탐지 시스템으로 전송되는 사용자의 접속, 이용, 종료와 관련된 정보를 의미한다. 상기 프로파일은 사용자를 식별하고 사용자의 행위를 정량화한 정보 집합으로서, 사용자에 대한 정보를 과거부터 축적하고 패턴화한 정보이다. 프로파일 생성, 수정, 삭제, 저장 등의 프로파일 관리를 위한 일련의 행위를 프로파일링이라 한다.
도1은 BYOD 및 스마트워크 환경을 나타낸 예시도이다.
도1에 도시된 바와 같이, 상기 BYOD 및 스마트워크 환경은 상황정보 수집 시스템(100), 비정상 행위 탐지시스템(200),), 통제 시스템(300), 개인 사용기기(400) 및 보안 시스템(500, 예: MDM 서버, NAC서버 등) 등을 포함하여 구현된다.
상기 상황정보 수집 시스템(100)은 개인 사용기기(400) 및 MDM 에이젼트 기기로부터 인증시, 접속시 및 접속 종료시와 관련한 상황 정보들을 수집한다.
이때, 수집되는 상황정보는 접속주소(예: id, 소속, 권한, 현재상태 등), 접속 패턴(인증결과, 인증실패횟수 등), 네트워크 행위정보(예: 접속시간, 위치 등) 및 접속 종료시간 정보를 포함한다. 이러한 상황정보는 주기적 전송데이터와 비주기적(실시간) 전송데이터로서 존재하지만, 상황정보 수집 시스템(100)은 이들 데이터를 모두 비주기적 전송데이터로 간주하여 수집한다.
다음으로, 상기 비정상 행위 탐지시스템(200)은 크게 상황정보 수신부, 상황정보 처리부, 비정상 행위 탐지부로 구성되며, 도1에 도시된 바와 같이 상기 상황정보 수집시스템(100)으로부터 상황정보를 수신받아 비정상 행위 탐지를 수행하고, 탐지된 결과를 통제 시스템(300, 동적 접근통제 미들웨어) 측에 전송한다.
상기 비정상 행위 탐지시스템(200)은 상기 상황정보 수집시스템(100) 으로부터 수신한 상황정보를 서비스 접속 세션 별로 분류하고 상황정보를 필요에 따라 처리 및·가공하고 접속ID, 기기ID 생성, 과거 행위 패턴 정보 등 추가 정보를 생성한다. 또한, 축적된 데이터를 사용자ID 별로 패턴화하여 프로파일을 생성 및 업데이트한다. 서비스 접속·사용자의 가공정보는 보안 정책 및 해당 사용자의 정상 프로파일을 기반으로 비정상 여부를 판단한다. 시스템의 탐지결과는 실시간으로 상기 통제 시스템(300)으로 전송된다.
상기 통제 시스템(300)은 비정상 행위 탐지시스템(200)에서 탐지된 비정상 행위 정보들을 제공받아 관제 GUI를 통해 통제하거나 보안 정책을 수립하고 관리하며, 외부 보안 기기와 연동한다. 이러한 통제 시스템(300)은 상기 비정상 행위 탐지 시스템(300) 및 외부 보안 기기(예: 지니안, 와플)와 연결되어 있다.
상기 개인 사용기기(400)는 스마트폰, 랩탑 및 태블릿 등 개인 소유의 이동 기기로 회사 내 데이터베이스와 애플리케이션 등과 같은 회사 내부의 IT 리소스에 접근 가능하며, 사용자는 개인 사용기기(400)를 통해 업무를 처리한다.
개인 사용기기(400)는 BYOD(Bring Your Own Device) 및 스마트워크 환경에서의 인증시, 접속시 및 접속 종료시와 관련한 상황 정보를 발생시킨다. 이때, 상황 정보는 앞서 설명한 바와 같다.
상기 보안 시스템(500)은 디엠제트(DMZ)나 스크린 서브넷(screened subnet)에 위치하며 사내 네트워크와 개인 사용기기(400) 간의 인증 연결, 다이렉트 푸시 업데이트(Direct Push Update) 등 통신을 위한 게이트웨이(Gateway) 기능을 수행한다. 보안 시스템(500)에는 다수의 에이젼트가 접속하여 앞서 설명한 상황 정보를 발생시킨다.
도2는 본 발명에 따른 비정상 행위 탐지시스템의 블록 구성도이다.
도2에 도시된 바와 같이, 본 발명에 따른 비정상 행위 탐지시스템(200)은 상황정보 수신부(210), 상황정보 처리부(220), 비정상 탐지부(230), 프로파일 관리부(250), 정보 분석부(260), 저장부(270)를 포함하여 구성된다.
상기 상황정보 수신부(210)는 물리적으로 분리된 상기 상황정보 수집 시스템(100)으로부터 사용자의 '네트워크 접속', '서비스 이용', '접속 종료' 등과 같은 각종 상황정보를 수신하여, 상황정보 처리부(220)와 정보 분석부(260)로 각각 전달한다.
상기 상황정보 처리부(220) 측에는 수신된 모든 상황정보가 전달되지만, 상기 정보 분석부(260)측에는 웹서비스 이용 요청/응답 정보, DB SQL Batch 요청/응답 정보, DB RPC 요청/응답 정보와 같은 이용 상황정보들이 전달된다. 상기 정보 분석부(260)는 이들 이용 상황정보를 전달받아 웹 사이트 분석 및 DB 이용 정보 분석을 수행한다.
상기 상황정보 처리부(220)는 도4에 도시된 바와 같이, 상기 상황정보 수집시스템(100)으로부터 입력받은 상황정보 데이터를 종류 별로 분류하여 가공하고 사용자의 접속 세션 별로 저장한다.
상황정보 처리부(220)는 상기 상황정보 수신부(210)를 통해 수신된 '네트워크 접속', '서비스 이용', '접속 종료'의 상황정보를 수신 및 가공하여 저장부(270) 일측의 임시저장소에 저장한다. 이때, 상기 임시저장소의 형태는 DB, file, 메모리 등으로 구성할 수 있다.
상황정보 처리부(220)는 상기 상황정보를 접속ID를 기준으로 조합·및 가공하여 임시저장소에 저장하고, 탐지 모듈에서 가공된 정보를 사용한다. 상기 접속ID는 접속주소와 세션ID를 결합한 형태로 이루어진다.
상황정보 처리부(220)는 만일, 상기 '네트워크 접속'과 관련된 상황정보가 수신되면, 인증 결과 및 사용자 접속정보 존재 여부에 따라 접속정보의 추가 또는 업데이트 과정을 수행한다. 상기 '네트워크 접속'과 관련된 상황정보로는 일반 인증성공, 일반 인증실패, 강화인증, Agent 설치 인증, Agent 접속 정보 등이 있다.
상황정보 처리부(220)는 '서비스 이용'에 관한 상황정보가 수신되면, 동일한 접속ID를 기준으로 하여 서비스 이용 정보를 업데이트 한다.
그리고, 'DB이용'에 관한 상황정보가 수신하면 해당 정보를 가공정보에 업데이트 한다. 그리고, 'Agent 변동'에 관한 상황정보가 수신되면, UAID를 조회하여 해당 정보와 일치하는 사용자의 가공정보에 업데이트 한다. 그리고, '접속 종료'에 관한 상황정보가 수신되면 현재 접속ID의 종료 처리 및 접속 종료 시간을 업데이트한다.
이후, 모든 상황정보가 수신되고 나면, 탐지요청 메시지를 생성하여 비정상 탐지부(230)로 전송한다.
다음으로, 상기 비정상 탐지부(230)는 탐지요청 메시지를 분류하여 사용자의 네트워크 이용에 대한 비정상 행위를 분석하고 탐지하는 장치부로서, 도3에 도시된 바와 같이 크게, 탐지요청 분류모듈(232), 비정상 행위 분석모듈(234), 비정상 행위 탐지모듈(236)을 포함하여 구성된다. 도3은 본 발명에 따른 비정상 탐지부의 블록 구성도이다.
상기 탐지요청 분류모듈(232)은 여러 종류의 상황정보 입력 시, 탐지요청 메시지를 분류하여 분석을 실행해야 할 비정상 행위 분석모듈(234)의 각 분석부(234a 내지 234g)로 전달한다.
상기 비정상 행위 분석모듈(234)은 여러 가지 비정상 행위를 분석하기 위한 모듈로서, 정상 프로파일 기반 행위 분석부(234a, 234b, 234c), 연속행위 분석부(234d), 비정상 웹이용 분석부(234e), 정책 분석부(234f), 사용자 추적부(234g)를 포함하여 구성된다. 비정상 행위 분석모듈(234)의 각 분석부(234a 내지 234g)는 입력되는 상황정보의 종류에 따라 각기 다른 정보분석을 수행한다.
상기 정상 프로파일 기반 행위 분석부(234a, 234b, 234c)는 접속 주기 전체 이용행위, 초기 이용행위, 비정상 접속행위를 과거 정상 프로파일 정보들의 분석 값과 비교하여 정상 행위와의 차이점을 분석한다.
상기 정상 프로파일 기반 행위 분석부(234a, 234b, 234c)는 도3에 도시된 바와 같이, 전체 이용행위 분석부(234a), 초기 이용행위 분석부(234b), 비정상 접속행위 분석부(234c)를 포함하여 구성되며, 접속 주기 전체 이용행위의 패턴, 초기 이용행위의 패턴, 비정상 접속행위의 패턴을 과거 정상 프로파일 정보들의 분석 값과 비교하여 정상 행위와의 차이점을 분석한다.
정상 프로파일 기반 행위 분석부를 구성하는 요소들 중, 상기 전체 이용행위 분석부(234a)는 도3에 도시된 바와 같이, 접속 주기 전체의 이용행위에 관한 패턴분석(1차 분석)을 수행하는 전체 이용행위 1차 분석부(234a-100)와, 상기 1차분석 결과, 상기 전체 이용행위 1차 분석부(234a-100)가 의심의 결과값을 출력하는 경우 서비스 이용속도에 기반하는 2차 분석을 수행하는 전체 이용행위 2차 분석부(234a-200)로 구성된다.
상기 연속행위 분석부(234d)는 현재 접속 세션에서 연속적으로 입력되는 이용 상황정보가 동일한 행위를 반복적으로 실행하는지를 분석한다.
상기 비정상 웹 이용 분석부(234e)는 사전 분석한 서비스 웹 사이트의 구조를 통해 사용자의 이전 서비스 이용 페이지에서 현재 입력된 이용 상황정보의 URI과 비교를 하여 사용자의 행위에 의해 접근할 수 없는 비정상 행위를 분석한다.
상기 정책 분석부(234f)는 현재 서비스 접속·이용 중인 사용자 가공정보, 프로파일의 비정상 여부를 판단한다. 정책 분석부(234f)는 사전에 설정한 보안정책을 판별기준으로 하여 정상과 비정상을 판단한다.
관리자에 의해 설정되는 보안정책은 일련의 조건(기준)과 조건 부합 시 적용되는 제어결과로 구성되며, 개발대상 시스템의 보안정책은 사용자의 가공정보와 프로파일 정보 구성에 사용되는 정보의 종류를 이용하여 설정한다.
상기 사용자 추적부(234g)는 DB이용 상황정보가 설정된 정책에 의해 비정상 행위가 탐지된 경우, 사전에 작성된 DB쿼리(DB-query) 발생 정보를 이용하여 비정상 행위발생 가능 사용자를 추적한다.
상기 비정상 행위 탐지모듈(236)은 비정상 행위 분석모듈(234)에서 행위 분석결과가 저장되면, 상기 행위분석 값의 비정상 여부를 판단하여 탐지정보를 생성하고, 통제 시스템(240) 측으로 전달한다. 만약, 사용자 접속종료 상황정보가 입력될 때 비정상 행위가 탐지되지 않으면 상기 프로파일 관리부(250)로 프로파일 생성 메시지를 보낸다. 그리고, 프로파일 관리부(250)는 정상/접속종료를 내용으로 하는 프로파일을 생성한다.
상기 프로파일 관리부(250)는 도8a에 도시된 바와 같이, 사용자의 각종 이용행위에 따른 상황정보들을 프로파일링하여 프로파일 정보를 생성하고 저장 및 관리한다.
상기 정보 분석부(260)는 상기 상황정보 수신부(210)에 사용자의 '네트워크 접속', '서비스 이용', '접속 종료' 등과 같은 각종 상황정보들이 수신되면, 수신된 상황정보들을 통해, 웹사이트를 분석하고 DB이용정보를 분석한다.
다음으로, 상기 저장부(270)는 접속, 이용, 및 에이젼트 상황정보로 가공된 정보와 프로파일 정보를 저장한다. 상기 상황정보 수집시스템(100)에 의해 수집된 상황정보는 접속, 이용, 및 에이젼트 상황정보로 가공되고, 접속 종료시의 상황정보는 프로파일 정보로 가공된 후 상기 저장부(270)에 저장된다.
이때, 상기 저장되는 프로파일 정보는 사용자 프로파일, 단말기기 프로파일, 접속행위 프로파일, 그리고 이용행위 프로파일을 포함한다. 상기 사용자 프로파일은 사용자 권한정보, 총 인증 실패횟수, 최근 접속 일시, 최초 접속 일시, 총 이용시간 및 총 접 속횟수를 포함하고, 상기 단말기기 프로파일은 기기 ID, 종류, OS, 브라우져, 기기명, MAC, 에이젼트 설치 유무, 화면 잠금 여부, 설치 프로그램 정보, 자동 로그인 설정 및 최근 접속 일시를 포함한다. 그리고, 상기 접속행위 프로파일은 접속행위 패턴 정보를 포함한다.
도4는 본 발명에 따른 상황정보 처리부의 동작 흐름도이다.
도4에 도시된 바와 같이, 본 발명에 따른 상황정보 처리부(220)는 상황정보 코드 별로 분류하고 가공 과정을 거쳐 임시 저장소에 상기 가공된 정보들을 저장한다. 상기 상황정보 수신부(210)를 통해 입력된 상황정보들은 정보의 형태가 각각 다르므로 상황정보 별로 분류되고, 접속ID, 사용자ID, UAID 등과 같이 사용자를 식별할 수 있는 정보를 기준으로 저장된다.
'접속' 상황정보의 경우, 상황정보 처리부(220)는 현재 접속정보가 존재하지 않으면 신규 접속으로 생성하고 기존의 접속정보가 있는 경우 해당 정보를 업데이트한다.
'서비스 이용' 상황정보의 경우는 접속ID를 기준으로 접속중인 세션을 찾아 서비스 이용정보를 업데이트하고, 관련 행위분석 정보를 계산한다.
또한, 'DB이용' 상황정보의 경우, 해당 정보를 활용하기 전 까지 저장소에 계속 보관하고 일정 시간 이상의 오래된 목록은 삭제한다.
또한, Agent 변동/종료 정보의 경우, 해당 UAID를 갖는 사용자를 검색하여 변동 정보를 업데이트한다.
또한, '종료' 상황정보의 경우, 해당 접속ID의 접속을 종료하고 가공정보를 업데이트 한다.
다음은 본 발명에 따른 전체 이용행위 분석부(234a)에 관한 설명이다.
본 발명에 따른 전체 이용행위 분석부(234a)는 1차와 2차에 걸쳐 접속 주기 전체의 이용행위에 관한 패턴분석을 수행하는 장치부로서, 전체 이용행위 1차 분석부(234a-100)와 전체 이용행위 2차 분석부(234a-200)로 구성된다.
도5a는 본 발명에 따른 전체 이용행위 1차 분석부의 블록 구성도이다.
도5a에 도시된 바와 같이, 본 발명에 따른 전체 이용행위 1차 분석부(234a-100)는 이용행위 조회부(234a-110), 제1빈도 분석부(234a-120), 프로파일 조회부 (234a-130), 제2빈도 분석부(234a-140), 이용행위 비교부(234a-150)를 포함하여 구성되며, 접속 주기 전체의 이용행위에 관한 패턴분석(전체 이용행위 1차 분석)을 수행한다.
상기 프로파일 조회부(234a-130)는 탐지요청 메시지가 상황정보 처리부(220)로부터 수신되면, 도9a에 도시된 과거 행위정보의 가공테이블을 참조하여, 해당 사용자의 과거 프로파일 정보를 조회한다. 도9a는 접속 주기 전체 이용행위의 패턴 분석 및 탐지를 위한 프로파일 즉, 과거 행위정보의 가공테이블에 관한 도면이다.
그리고 상기 제2빈도 분석부(234a-140)는 상기 조회된 과거 프로파일 정보에서, 과거 동일한 접속 상황에서의 사용자의 행위 빈도를 검출한다.
상기 이용행위 조회부(234a-110)는 도9b에 도시된 현재 발생 상황정보의 가공테이블을 참조하여, 현재 사용자의 이용 가공정보를 조회한다. 도9b는 접속 주기 전체 이용행위의 패턴 분석 및 탐지를 위한 현재 발생 상황정보의 가공테이블에 관한 도면이다.
상기 제1빈도 분석부(234a-120)는 상기 조회된 현재 사용자의 이용 가공정보에서, 전체 접속주기 동안 발생한 이용행위의 빈도를 검출한다.
상기 이용행위 비교부(234a-150)는 상기 '전체행위 항목의 변화량 탐지'를 위해, 먼저 각 행위별 오차값을 계산하고, 상기 계산된 오차값에 따라 현재 사용자 이용행위의 비정상 여부를 판정하고, 상기 '개별행위 항목의 변화량 탐지'를 위해, 상기 개별 항목별 변화량으로서 현재 사용자 이용행위의 비정상 여부를 판정한다.
상기 이용행위 비교부(234a-150)는 상기 '전체행위의 변화량 탐지'를 위해, 먼저, 각 행위별 오차값을 하기 수학식1과 같이 계산한다.
[수학식 1]
오차값 = (현재 이용행위#1 - 과거 이용행위#1)2+ …
+ (현재 이용행위#n -과거 이용행위#n)2
그리고, 상기 계산된 오차값을 (과거 행위정보의 개별 항목 N%)^2의 합과 비교한다. 만일, 상기 계산된 오차값이 과거 행위정보의 개별 항목 N%^2의 합보다 작거나 같은 경우 이용행위 비교부(234a-150)는 현재 사용자의 이용행위를 정상으로 판정하고, 상기 계산된 오차값이 과거 행위정보의 개별 항목 N%^2의 합보다 큰 경우, 현재 사용자의 이용행위를 비정상으로 판정한다. 이때, 상기 N의 기본값은 20으로 설정된다.
또한, 상기 '개별행위 항목의 변화량 탐지'를 위해, 상기 이용행위 비교부(234a-150)는 개별 항목별 변화량을 비교한다. 개별 항목은 전체 행위 편차를 구하기 위해 중간단계에서 계산한 개별행위 단위의 편차값을 의미한다.
이용행위 비교부(234a-150)는 상기 개별 항목별 변화량이 X% 이하일 때 현재 사용자의 이용행위를 정상으로 판정하고 그 판정결과(분석결과)를 저장한다. 만일, 상기 개별 항목별 변화량이 X% 보다 큰 경우, 이용행위 비교부(234a-150)는 현재 사용자의 이용행위를 비정상으로 판정한다. 이때, 상기 X의 기본값은 30으로 설정된다.
도5b는 본 발명에 따른 전체 이용행위 2차 분석부의 블록 구성도이다.
도5b에 도시된 바와 같이, 본 발명에 따른 전체 이용행위 2차 분석부(234a-200)는 상기 전체 이용행위 1차 분석의 결과값이 비정상으로 의심되는 경우, 서비스 이용속도에 기반하는 2차 분석을 수행하는 장치부로서, 서비스 이용횟수 검출부(234a-210), 서비스 이용시간 검출부(234a-220), 과거 서비스 이용횟수 조회부(234a-230), 과거 서비스 이용시간 조회부(234a-240), 이용행위 분석부(234a -250)를 포함하여 구성된다.
상기 서비스 이용횟수 검출부(234a-210)는 현재 사용자의 서비스 이용행위 수를 검출한다. 서비스 이용행위의 수는 접속부터 이용 종료시까지의 서비스 이용횟수를 의미한다. 도13에 도시된 공지사항 서비스 이용행위의 수는 총 14개이고, 게시판 서비스 이용행위의 수는 2개이고, 일정관리 서비스 이용행위의 수는 4개이다. 도13은 개별 서비스 항목당 서비스 이용량과 이용시간을 예시한 도면이다.
상기 서비스 이용시간 검출부(234a-220)는 현재 사용자의 서비스 이용시간을 검출한다. 서비스 이용시간은 접속부터 이용 종료시까지의 서비스 이용시간을 의미한다. 도13에 도시된 공지사항 서비스 이용시간은 총 130초이고, 게시판 서비스 이용시간은 40초이고, 일정관리 서비스 이용시간은 52초이다.
상기 서비스 이용횟수 검출부(234a-210)와 서비스 이용시간 검출부(234a-220)는 도10a 내지 도10b에 도시된 현재 발생 상황정보의 가공테이블을 참조하여, 현재 사용자의 서비스 이용행위 수와 서비스 이용시간을 검출한다. 도10a 내지 도10b는 본 발명의 전체 이용행위 2차 분석을 위한 현재 발생 상황정보의 가공테이블을 예시한 도면이다.
상기 과거 서비스 이용횟수 조회부(234a-230)는 도10c 내지 도10d에 도시된 바와 같이, 상기 저장부(270)에 저장된 프로파일 데이터들을 로드하여, 사용자의 과거 서비스 이용행위 수를 검출한다.
상기 과거 서비스 이용시간 조회부(234a-240)는 도10c 내지 도10d에 도시된 바와 같이, 상기 저장부(270)에 저장된 프로파일 데이터들을 로드하여, 사용자의 과거 서비스 이용시간을 검출한다. 도10c 내지 도10d는 본 발명의 전체 이용행위 2차 분석을 위한 프로파일 즉, 과거 행위정보의 가공테이블을 예시한 도면이다.
상기 이용행위 분석부(234a-250)는 도6에 도시된 바와 같이, 데이터 수집부(234a-251), 회귀직선 생성부(234a-253), 이용속도 비교부(234a-255), 정상범위 설정부(234a-257), 정상여부 판정부(234a-259)를 포함하여 구성되며, 회귀분석을 통해 현재 서비스 이용속도와 과거 서비스 이용속도를 비교하여, 현재 사용자의 이용행위 정상인지 여부를 판정한다. 도6은 본 발명에 따른 이용행위 분석부의 블록 구성도이다.
상기 데이터 수집부(234a-251)는 N개의 과거 프로파일 데이터를 수집한다.
데이터 수집부(234a-251)는 상기 과거 서비스 이용횟수 조회부(234a-230)와 과거 서비스 이용시간 조회부(234a-240)가 조회한 프로파일 데이터들을 참조한다. 데이터 수집부(234a-251)는 상기 조회된 프로파일 데이터들 중, 시간적으로 가장 최근에 저장된 N개의 과거 프로파일 데이터(예: 사용자의 과거 서비스 이용행위 수, 사용자의 과거 서비스 이용시간)를 추출한다.
도14는 상기 N개의 과거 프로파일 데이터와 그 데이터들을 나타낸 그래프이다.
도14에 도시된 바와 같이, 상기 프로파일 데이터의 그래프는 서비스 이용행위의 수를 x축으로 하고, 서비스 이용시간을 y축으로 하여 상기 사용자의 과거 N개의 프로파일 데이터를 각각의 점으로 표시하였다.
상기 회귀직선 생성부(234a-253)는 사용자의 이용속도를 분석할 수 있도록, 상기 N개의 과거 프로파일 데이터에 관한 회귀직선을 생성한다. 이때, 상기 회귀직선 생성부(234a-253)는 하기 수학식2를 참조하여, 상기 회귀직선을 생성한다.
[수학식 2]
y=a0+a1x
Figure pat00001
Figure pat00002
위 수학식에서, 상기 n은 회귀 분석 대상 사용자의 프로파일 개수를 의미한다. n이 100일 경우, 회귀직선 생성부(234a-253)는 100개의 프로파일 정보를 활용하여 회귀직선을 생성하게 된다.
상기 정상범위 설정부(234a-257)는 상기 생성된 회귀직선(예: y=a0+a1x)에 기초한 평균 잔차r을 구하여, 잔차(ri)의 정상범위(예:|ri|>|r|)를 설정한다.
상기 이용속도 비교부(234a-255)는 상기 생성된 회귀직선(예: y=a0+a1x)을 이용한 회귀분석을 통해, 현재 서비스 이용속도와 과거 서비스 이용속도를 비교한다. 이용속도 비교부(234a-255)는 현재 서비스 이용속도와 과거 서비스 이용속도 간의 잔차ri을 구하고 상기 정상범위(예:|ri|>|r|)에 속하는지 여부를 확인한다.
상기 정상여부 판정부(234a-259)는 상기 이용속도 비교부(234a-255)의 확인 결과, 상기 잔차ri가 상기 정상범위(예:|ri|>|r|)에 속하는 경우, 현재 사용자의 이용행위를 정상으로 판정한다. 그러나, 상기 잔차ri가 상기 정상범위(예:|ri|>|r|)에 속하지 않는 경우, 정상여부 판정부(234a-259)는 현재 사용자의 이용행위를 비정상으로 판정한다.
도7은 본 발명에 따른 비정상 탐지부의 동작 흐름도로서, 특히 비정상 탐지부를 구성하는 정상 프로파일 기반 행위 분석부의 접속 주기 전체 이용행위 패턴분석에 관한 것이다.
본 발명에 따른 비정상 탐지부(230)는 탐지요청 메시지를 분류하여 사용자의 네트워크 이용에 대한 비정상 행위를 분석하고 탐지하는 장치부로서, 도3에 도시된 바와 같이 탐지요청 분류모듈(232), 비정상 행위 분석모듈(234), 비정상 행위 탐지모듈(236)을 포함하여 구성된다.
그 중, 상기 비정상 행위 분석모듈(234)은 여러가지 비정상 행위의 패턴을 분석하기 위한 모듈로서, 정상 프로파일 기반 행위 분석부(234a, 234b, 234c), 연속행위 분석부(234d), 비정상 웹이용 분석부(234e), 정책 분석부(234f), 사용자 추적부(234g)를 포함하여 구성된다.
상기 정상 프로파일 기반 행위 분석부(234a, 234b, 234c)는 접속 주기 전체 이용행위의 패턴, 초기 이용행위의 패턴, 비정상 접속행위의 패턴을 과거 정상 프로파일 정보들의 분석 값과 비교하여 정상 행위와의 차이점을 분석한다.
상기 전체 이용행위 분석부(234a)는 상기 비정상 행위 탐지시스템(200)에 '종료(접속 종료)' 상황정보가 입력되어 그에 따른 탐지요청 메시지를 상황정보 처리부(220)로부터 수신하면 도11의 b)에 도시된 바와 같이 우선, 해당 사용자의 과거 프로파일 정보를 조회하여 동일한 접속 상황에서의 행위 빈도를 분석한다. (S10~S30) 도11은 본 발명에 따른 접속 주기 전체 이용행위 패턴분석 및 탐지의 동작 예시도로서, 전체 이용행위 분석부(234a)의 전체 이용행위 1차 분석에 관한 동작을 예시한 것이다.
그리고, 도11의 a)에 도시된 바와 같이 전체 이용행위 분석부(234a)는 이용 가공정보를 조회하여, 현재 가공정보에서 전체 접속주기 동안 발생한 이용행위의 빈도를 분석한다. (S40~S50)
이후, 도11의 c)에 도시된 바와 같이 상기 현재 접속 중 이용행위 빈도와 과거 접속의 이용 행위 평균의 '전체행위 항목의 변화량 탐지'와 '개별행위 항목의 변화량 탐지'를 수행하여 비정상 행위인지 여부를 판별하는 전체 이용행위 1차분석을 수행한다. (S60)
전체 이용행위 분석부(234a)는 상기 '전체행위의 변화량 탐지'를 위해, 먼저, 각 행위별 오차값을 하기 수학식1과 같이 계산한다. 도12는 현재의 상황정보와 과거의 이용행위별 발생확률과 그 오차를 나타낸 그래프이다.
[수학식 1]
오차값 = (현재 이용행위#1 - 과거 이용행위#1)2+ …
+ (현재 이용행위#n -과거 이용행위#n)2
그리고, 상기 계산된 오차값을 (과거 행위정보의 개별 항목 N%)^2의 합과 비교한다. 만일, 상기 계산된 오차값이 과거 행위정보의 개별 항목 N%^2의 합보다 작거나 같은 경우 전체 이용행위 분석부(234a)는 현재 사용자의 이용행위가 정상인 것으로 판정하고, 상기 계산된 오차값이 과거 행위정보의 개별 항목 N%^2의 합보다 큰 경우, 현재 사용자의 이용행위는 비정상인 것으로 판정한다.
또한, 상기 '개별행위 항목의 변화량 탐지'를 위해, 상기 전체 이용행위 분석부(234a)는 개별 항목별 변화량을 비교한다. 개별 항목은 전체 행위 편차를 구하기 위해 중간단계에서 계산한 개별행위 단위의 편차값을 의미한다.
전체 이용행위 분석부(234a)는 상기 개별 항목별 변화량이 X% 이하일 때 현재 사용자의 이용행위가 정상인 것으로 판정하고 그 판정결과(분석결과)를 저장한다. 만일, 상기 개별 항목별 변화량이 X% 보다 큰 경우, 전체 이용행위 분석부(234a)는 현재 사용자의 이용행위가 비정상인 것으로 판정한다.
본 발명은 '전체행위의 변화량 탐지'와 '개별행위 항목의 변화량 탐지'가 모두 정상의 결과값을 가지면, 사용자의 이용행위가 정상인 것으로 최종 판정한다. 그러나, 상기 '전체행위의 변화량 탐지'와 '개별행위 항목의 변화량 탐지' 중 어느 하나가 비정상의 결과값을 갖는 경우, 전체 이용행위 분석부(234a)는 '의심'의 판정 결과값을 출력하고, 추가적인 분석(전체 이용행위 2차 분석) 절차를 수행한다.
상기 '전체행위의 변화량 탐지'와 '개별행위 항목의 변화량 탐지'가 모두 정상의 결과값을 가지면, 비정상 행위 탐지모듈(236)은 정상행위 탐지결과를 생성하고 해당 프로파일을 생성한다. (S70~S85)
그리고, 만일 상기 '전체행위의 변화량 탐지'와 '개별행위 항목의 변화량 탐지' 중 어느 하나가 비정상의 결과값을 갖는 경우, 전체 이용행위 분석부(234a)는 사용자의 이용행위를 의심하여, 서비스 이용속도에 기반하는 전체 이용행위 2차 분석을 추가적으로 수행한다.(S90)
도8은 본 발명에 따른 전체 이용행위 분석부의 전체 이용행위 2차 분석에 관한 동작 흐름도이다.
전체 이용행위 2차 분석이 시작되면, 본 발명에 따른 전체 이용행위 분석부(234a)는 도8에 도시된 바와 같이, 우선 N개의 과거 프로파일 데이터를 수집한다. (S90-10)
전체 이용행위 분석부(234a)는 시간적으로 가장 최근에 저장된 N개의 과거 프로파일 데이터(예: 사용자의 과거 서비스 이용행위 수, 사용자의 과거 서비스 이용시간)를 도15의 a)에 도시된 바와 같이 수집한다. 도15의 a)는 본 발명에 따라 수집된 과거 프로파일 데이터를 정리한 테이블이다.
그리고, 수집한 상기 N개의 과거 프로파일 데이터를 기반으로 도14에 도시된 바와 같이, 회귀직선을 생성한다. (S90-20) 이때, 상기 회귀직선은 하기 수학식2를 참조하여 생성된다.
[수학식 2]
y=a0+a1x
Figure pat00003
Figure pat00004
상기 n은 회귀 분석 대상 사용자의 프로파일 개수를 의미한다.
또한, 전체 이용행위 분석부(234a)는 상기 회귀직선(예: y=a0+a1x)에 기초한 평균 잔차r을 구하여, 잔차(ri)의 정상범위(예:|ri|>|r|)를 설정한다. (S90-30) 그리고, 상기 회귀직선(예: y=a0+a1x)을 이용한 회귀분석을 통해, 현재 서비스 이용속도와 과거 서비스 이용속도를 비교한다. (S90-40)
전체 이용행위 분석부(234a)는 현재 서비스 이용속도와 과거 서비스 이용속도 간의 잔차ri을 구하고 상기 정상범위(예:|ri|>|r|)에 속하는지 여부를 확인한다. 도15의 b)는 a)에 개시된 프로파일 데이터 테이블의 회귀직선을 나타낸 그래프이다. 도15의 b)에 도시된 그래프를 통해, 현재 서비스 이용속도와 과거 서비스 이용속도 간의 잔차ri을 확인할 수 있다.
만일, 상기 잔차ri가 상기 정상범위(예: |ri|>|r|)에 속하는 경우, 전체 이용행위 분석부(234a)는 현재 사용자의 이용행위를 정상으로 판정한다. 그러나, 상기 잔차ri가 상기 정상범위(예: |ri|>|r|)에 속하지 않을 경우, 현재 사용자의 이용행위를 비정상으로 판정한다.
이상의 전체 이용행위 2차 분석(S90-10 ~ S90-40)을 통해, 현재 사용자의 이용행위가 정상인 것으로 판정되면, 상기 비정상 행위 탐지모듈(236)은 정상행위 탐지결과를 생성하고, 해당 프로파일을 생성한다. (S70~S85)
만일, 상기 2차분석의 결과가 현재 사용자의 이용행위를 비정상으로 판정하면, 비정상 행위 탐지모듈(236)은 도7에 도시된 바와 같이, 비정상 탐지결과를 생성한다. (S96) 그리고, 상기 생성된 탐지결과(예: 정상행위 혹은 비정상 행위)를 통제 시스템(300) 측으로 전달한다.(S98) 상기 생성된 프로파일 정보는 프로파일 관리부(250)측에 전달된다.
본 발명에 따른 비정상 행위 탐지시스템(200)은 소프트웨어, 하드웨어 또는 이들의 조합된 것을 이용하여 컴퓨터로 읽을 수 있는 기록매체 내에서 구현될 수 있다.
하드웨어적인 구현에 의하면, 여기에 설명되는 비정상 행위 탐지시스템(200) 은 ASICs(Application Specific Integrated Circuits), DSPs(Digital Signal Processors), DSPDs(Digital Signal Processing Devices), PLDs(Programmable Logic Devices), FPGAs (Field Programmable Gate Arrays), 프로세서(processors), 제어기(controllers), 마이크로 컨트롤러(micro-controllers), 마이크로 프로세서(microprocessors), 기능 수행을 위한 전기적인 유닛 중 적어도 하나를 이용하여 구현될 수 있다. 일부의 경우에 본 명세서에서 설명되는 실시 예들이 비정상 행위 탐지시스템(200) 자체로 구현될 수 있다.
본 발명은 도면에 도시된 실시 예(들)를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형이 이루어질 수 있으며, 상기 설명된 실시예(들)의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
이상, 기술된 바와 같이, 본 발명은 네트워크 트래픽 분석을 통한 기존의 네트워크 기반의 보안 장비와 달리, 대상 객체의 시간, 위치, 접속 네트워크, 사용 기기 등 다양한 행위 요소를 기반으로 행위를 패턴화하여 비정상 행위를 탐지하는 방안을 구현하였다.
본 발명에 따른 비정상 행위 탐지시스템은 BYOD 및 스마트워크 환경에서의 시스템 보안성을 향상시키기 위한 것으로, 상황 정보를 접속, 이용 및 에이젼트 상황 정보와 프로파일 정보로 가공한 후, 개인화된 접속주기 전체 이용행위 패턴을 분석하는 1차 분석과 서비스 이용속도에 기반하는 2차 분석을 수행하여 비정상 행위 탐지에 관한 수행능력을 향상시켰다.
본 발명은, 비정상 접근/이용 행위 탐지를 위해, 업무 시나리오 상에서 발생 가능한 비정형적인 데이터 즉, 사용 기기의 유형, 접속 시간(예: 일과시간, 일과 외 시간 등), 접속 위치(사내, 사외 등), 이용 시간 등을 사용자 행위 패턴으로 활용함으로써, BYOD 및 스마트워크 환경에서 시스템 보안성을 향상시켰다.
100 : 상황정보 수집 시스템 200 : 비정상 행위 탐지시스템
210 : 상황정보 수신부 220 : 상황정보 처리부
230 : 비정상 탐지부 232 : 탐지요청 분류모듈
234 : 비정상 행위 분석모듈 234a : 전체 이용행위 분석부
234a-100 : 전체 이용행위 제1분석부 234a-200 : 전체 이용행위 제2분석부
234b : 초기 이용행위 분석부 234c : 비정상 접속행위 분석부
234d : 연속행위 분석부 234e : 비정상 웹이용 분석부
234f : 정책 분석부 234g : 사용자 추적부
234b-110 : 이용행위 조회부 234b-120 : 제1빈도 분석부
234b-130 : 프로파일 조회부 234b-140 : 제2빈도 분석부
234b-150 : 이용행위 비교부 234b-210 : 서비스이용횟수 검출부
234b-220 : 서비스 이용시간 검출부
234b-230 : 과거 서비스 이용횟수 조회부
234b-240 : 과거 서비스 이용시간 조회부
234b-250 : 이용행위 분석부 234b-251 : 데이터 수집부
234b-253 : 회귀직선 생성부 234b-255 : 이용속도 비교부
234b-257 : 정상범위 설정부 234b-259 : 정상여부 판정부
236 : 비정상 행위 탐지모듈 250 : 프로파일 관리부
260 : 정보 분석부 270 : 저장부
300 : 통제 시스템 400 : 개인 사용기기
500 : 보안 시스템

Claims (11)

  1. BYOD(Bring Your Own Device) 및 스마트워크 환경에서, 상황정보 수집 시스템으로부터 소정의 상황정보가 수신되면, 접속 주기 전체의 이용행위 패턴분석을 통해 전체 접속 주기 동안 발생한 동일한 접속 상황에서의 행위 빈도를 분석하여 비정상 이용행위를 탐지하는 비정상 행위 탐지 시스템의 비정상 탐지부(230)에 있어서,
    상기 전달된 탐지요청 메시지를 분류하여 비정상 행위 분석모듈(234)의 각 분석부로 전달하는 탐지요청 분류모듈(232)과,
    접속 주기 전체의 이용행위 패턴분석 절차를 통해, 현재 접속 중 이용행위 빈도와 과거 접속의 이용행위 평균의 '전체행위 항목의 변화량 탐지'와 '개별행위 항목의 변화량 탐지'를 수행하여 상기 웹서비스 이용의 비정상 여부를 분석하는 비정상 행위 분석모듈(234)과,
    상기 비정상 행위 분석모듈(234)의 분석결과가 저장되면, 그에 따른 정상 혹은 비정상의 탐지결과 정보를 생성하고, 통제 시스템(240)측으로 전달하는 비정상 행위 탐지모듈(236)을 포함하여 구성되며,
    상기 비정상 행위 분석모듈(234)은 접속 주기 전체의 이용행위에 관한 패턴을 분석하는 1차 분석을 수행하고, 상기 1차 분석이 의심의 결과값을 생성하는 경우 서비스 이용속도에 기반하는 2차 분석을 수행하는 전체 이용행위 분석부(234a)를 포함하여 구성되는 것을 특징으로 하는 비정상 행위 탐지 시스템의 비정상 탐지부.
  2. 제1항에 있어서, 상기 전체 이용행위 분석부(234a)는
    접속 주기 전체의 이용행위에 관한 패턴을 분석하는 1차 분석을 수행하는 전체 이용행위 1차 분석부(234a-100)와,
    상기 1차 분석 결과, 상기 전체 이용행위 1차 분석부(234a-100)가 의심의 결과값을 출력하는 경우 서비스 이용속도에 기반하는 2차 분석을 수행하는 전체 이용행위 2차 분석부(234a-200)를 포함하여 구성되는 것을 특징으로 하는 비정상 행위 탐지 시스템의 비정상 탐지부.
  3. 제2항에 있어서, 상기 전체 이용행위 1차 분석부(234a-100)는
    이용 가공정보를 조회하는 이용행위 조회부(234a-110)와,
    현재 가공정보에서 전체 접속주기 동안 발생한 이용행위의 빈도를 검출하는 제1빈도 분석부(234a-120)와,
    해당 사용자의 과거 프로파일 정보를 조회하는 프로파일 조회부(234a-130)와,
    과거 동일한 접속 상황에서의 사용자의 행위 빈도를 검출하는 제2빈도 분석부(234a-140)와,
    상기 '전체행위 항목의 변화량 탐지'를 위해, 먼저 각 행위별 오차값을 계산하고, 상기 계산된 오차값에 따라 현재 사용자 이용행위의 비정상 여부를 판정하고, 상기 '개별행위 항목의 변화량 탐지'를 위해, 상기 개별 항목별 변화량으로서 현재 사용자 이용행위의 비정상 여부를 판정하는 이용행위 비교부(234a-150)를 포함하여 구성되는 것을 특징으로 하는 비정상 행위 탐지 시스템의 비정상 탐지부.
  4. 제2항에 있어서, 상기 전체 이용행위 2차 분석부(234a-200)는
    현재 사용자의 서비스 이용행위 수를 검출하는 서비스 이용횟수 검출부(234a-210)와,
    현재 사용자의 서비스 이용시간을 검출하는 서비스 이용시간 검출부(234a-220)와,
    저장부(270)에 저장된 프로파일 데이터들을 로드하여, 사용자의 과거 서비스 이용행위 수를 검출하는 과거 서비스 이용횟수 조회부(234a-230)와,
    상기 저장부(270)에 저장된 프로파일 데이터들을 로드하여, 사용자의 과거 서비스 이용시간을 검출하는 과거 서비스 이용시간 조회부(234a-240)와,
    회귀분석을 통해 현재 서비스 이용속도와 과거 서비스 이용속도를 비교하여, 현재 사용자의 이용행위 정상인지 여부를 판정하는 이용행위 분석부(234a-250)를 포함하여 구성되는 것을 특징으로 하는 비정상 행위 탐지 시스템의 비정상 탐지부.
  5. 제4항에 있어서, 상기 이용행위 분석부(234a-250)는
    N개의 과거 프로파일 데이터를 수집하는 데이터 수집부(234a-251)와,
    사용자의 이용속도를 분석할 수 있도록, 상기 수집된 프로파일 데이터에 관한 회귀직선을 생성하는 회귀직선 생성부(234a-253)와,
    상기 회귀직선에 기초한 평균 잔차r을 구하여, 현재 서비스 이용속도와 과거 서비스 이용속도 간의 잔차(ri)의 정상범위를 설정하는 정상범위 설정부(234a-257)와,
    잔차ri을 구하고 상기 정상범위에 속하는지 여부를 확인하는 이용속도 비교부(234a-255)와,
    상기 잔차ri가 상기 정상범위에 속하는지 여부에 따라, 현재 사용자의 이용행위를 정상 혹은 비정상으로 판정하는 정상여부 판정부(234a-259)를 포함하여 구성되는 것을 특징으로 하는 비정상 행위 탐지 시스템의 비정상 탐지부.
  6. 제5항에 있어서, 상기 회귀직선 생성부(234a-253)는
    하기 수학식을 참조하여, 상기 수집된 프로파일 데이터에 관한 회귀직선을 생성하는 것을 특징으로 하는 비정상 행위 탐지 시스템의 비정상 탐지부.
    y=a0+a1x
    Figure pat00005
    Figure pat00006

    상기 n은 회귀 분석 대상 사용자의 프로파일 개수를 의미한다.
  7. BYOD(Bring Your Own Device) 및 스마트워크 환경에서, 상황정보 수집 시스템으로부터 소정의 상황정보가 수신되면, 접속 주기 전체의 이용행위 패턴분석을 통해 전체 접속 주기 동안 발생한 동일한 접속 상황에서의 행위 빈도를 분석하여 비정상 이용행위를 탐지하는 비정상 탐지부(230)의 비정상 행위 탐지방법에 있어서,
    탐지요청 분류모듈(232)이 상기 전달된 탐지요청 메시지를 분류하여 비정상 행위 분석모듈(234)의 각 분석부로 전달하는 과정과,
    비정상 행위 분석모듈(234)이 접속 주기 전체의 이용행위에 관한 패턴을 분석하는 전체 이용행위 1차 분석을 통해, 현재 접속 중 이용행위 빈도와 과거 접속의 이용행위 평균의 '전체행위 항목의 오차값 변화량 탐지'와 '개별행위 항목의 오차값 변화량 탐지'를 수행하여 상기 웹서비스 이용의 비정상 여부를 분석하는 과정과,
    상기 비정상 행위 분석모듈(234)의 분석결과가 저장되면, 비정상 행위 탐지모듈(236)이 그에 따른 정상 혹은 비정상의 탐지결과 정보를 생성하고, 통제 시스템(240)측으로 전달하는 과정을 포함하여 이루어지며,
    상기 비정상 행위 분석모듈(234)은, 상기 전체 이용행위 1차 분석이 의심의 결과값을 생성했을 경우 서비스 이용속도에 기반하는 전체 이용행위 2차 분석을 수행하는 것을 특징으로 하는 비정상 탐지부의 비정상 행위 탐지방법.
  8. 제7항에 있어서, 상기 전체 이용행위 1차 분석 과정은,
    이용행위 조회부(234a-110)가 이용 가공정보를 조회하는 과정과,
    제1빈도 분석부(234a-120)가 현재 가공정보에서 전체 접속주기 동안 발생한 이용행위의 빈도를 검출하는 과정과,
    프로파일 조회부(234a-130)가 해당 사용자의 과거 프로파일 정보를 조회하는 과정과,
    제2빈도 분석부(234a-140)가 과거 동일한 접속 상황에서의 사용자의 행위 빈도를 검출하는 과정과,
    이용행위 비교부(234a-150)가 상기 '전체행위 항목의 오차값 변화량 탐지'를 위해, 사용자의 과거 전체행위 프로파일 누적 평균 오차값을 구하여 현재 전체행위 오차값과 비교하고, '개별행위 항목의 오차값 변화량 탐지'를 위해, 사용자의 과거 개별행위 프로파일 누적 평균 오차값을 구하여 현재 개별행위 오차값과 비교하여, 사용자 이용행위의 비정상 여부를 판정하는 과정을 포함하여 이루어지는 것을 특징으로 하는 비정상 탐지부의 비정상 행위 탐지방법.
  9. 제8항에 있어서, 상기 전체 이용행위 2차 분석 과정은,
    서비스 이용횟수 검출부(234a-210)가 현재 사용자의 서비스 이용행위 수를 검출하는 과정과,
    서비스 이용시간 검출부(234a-220)가 현재 사용자의 서비스 이용시간을 검출하는 과정과,
    과거 서비스 이용횟수 조회부(234a-230)가 저장부(270)에 저장된 프로파일 데이터들을 로드하여, 사용자의 과거 서비스 이용행위 수를 검출하는 과정과,
    과거 서비스 이용시간 조회부(234a-240)가 상기 저장부(270)에 저장된 프로파일 데이터들을 로드하여, 사용자의 과거 서비스 이용시간을 검출하는 과정과,
    이용행위 분석부(234a-250)가 회귀분석을 통해 현재 서비스 이용속도와 과거 서비스 이용속도를 비교하여, 현재 사용자의 이용행위 정상인지 여부를 판정하는 과정을 포함하여 이루어지는 것을 특징으로 하는 비정상 탐지부의 비정상 행위 탐지방법.
  10. 제8항에 있어서, 상기 이용행위 분석부의 정상여부 판정과정은,
    데이터 수집부(234a-251)가 N개의 과거 프로파일 데이터를 수집하는 과정과,
    회귀직선 생성부(234a-253)가 사용자의 이용속도를 분석할 수 있도록, 상기 수집된 프로파일 데이터에 관한 회귀직선을 생성하는 과정과,
    정상범위 설정부(234a-257)가 상기 회귀직선에 기초한 평균 잔차r을 구하여, 현재 서비스 이용속도와 과거 서비스 이용속도 간의 잔차(ri)의 정상범위를 설정하는 과정과,
    이용속도 비교부(234a-255)가 잔차ri을 구하고 상기 정상범위에 속하는지 여부를 확인하는 과정과,
    정상여부 판정부(234a-259)가, 상기 잔차ri가 상기 정상범위에 속하는지 여부에 따라, 현재 사용자의 이용행위를 정상 혹은 비정상으로 판정하는 과정을 포함하여 이루어지는 것을 특징으로 하는 비정상 탐지부의 비정상 행위 탐지방법.
  11. 제10항에 있어서, 상기 회귀직선을 생성하는 과정은,
    하기 수학식에 따라, 프로파일 데이터에 관한 회귀직선을 생성하는 것을 특징으로 하는 비정상 탐지부의 비정상 행위 탐지방법.
    y=a0+a1x
    Figure pat00008

    상기 n은 회귀 분석 대상 사용자의 프로파일 개수를 의미한다.
KR1020160002290A 2016-01-07 2016-01-07 개인화된 접속주기 전체 이용행위 2차 분석을 이용한 비정상 행위 탐지시스템 KR20170082937A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020160002290A KR20170082937A (ko) 2016-01-07 2016-01-07 개인화된 접속주기 전체 이용행위 2차 분석을 이용한 비정상 행위 탐지시스템
US15/006,381 US20170201531A1 (en) 2016-01-07 2016-01-26 Abnormal behavior detection system using quadratic analysis of entire use behavior pattern during personalized connection period

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160002290A KR20170082937A (ko) 2016-01-07 2016-01-07 개인화된 접속주기 전체 이용행위 2차 분석을 이용한 비정상 행위 탐지시스템

Publications (1)

Publication Number Publication Date
KR20170082937A true KR20170082937A (ko) 2017-07-17

Family

ID=59276383

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160002290A KR20170082937A (ko) 2016-01-07 2016-01-07 개인화된 접속주기 전체 이용행위 2차 분석을 이용한 비정상 행위 탐지시스템

Country Status (2)

Country Link
US (1) US20170201531A1 (ko)
KR (1) KR20170082937A (ko)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US10943019B2 (en) 2017-05-15 2021-03-09 Forcepoint, LLC Adaptive trust profile endpoint
US10999297B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Using expected behavior of an entity when prepopulating an adaptive trust profile
US10862927B2 (en) 2017-05-15 2020-12-08 Forcepoint, LLC Dividing events into sessions during adaptive trust profile operations
US10917423B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Intelligently differentiating between different types of states and attributes when using an adaptive trust profile
US10129269B1 (en) 2017-05-15 2018-11-13 Forcepoint, LLC Managing blockchain access to user profile information
CN107404494B (zh) * 2017-08-21 2020-04-21 奇安信科技集团股份有限公司 异常事件信息处理方法及装置
CN107819743B (zh) * 2017-10-24 2021-04-02 中国平安财产保险股份有限公司 资源访问控制方法及终端设备
CN108134780B (zh) * 2017-12-12 2021-03-16 重庆邮电大学 基于改进决策树算法的智能家居安防设备安全性判断方法
CA3027217A1 (en) * 2017-12-12 2019-06-12 Interset Software, Inc. Peer connection monitoring of network applications
CN108846012A (zh) * 2018-05-04 2018-11-20 中国信息安全研究院有限公司 一种非正常信息处理方法
US11363042B2 (en) * 2019-01-21 2022-06-14 Netapp, Inc. Detection of anomalies in communities based on access patterns by users
US11108818B2 (en) * 2019-02-17 2021-08-31 Microsoft Technology Licensing, Llc Credential spray attack detection
US10997295B2 (en) 2019-04-26 2021-05-04 Forcepoint, LLC Adaptive trust profile reference architecture
US11418488B2 (en) * 2019-12-13 2022-08-16 Vmware, Inc. Dynamic variance mechanism for securing enterprise resources using a virtual private network
US11936664B2 (en) 2020-03-14 2024-03-19 Microsoft Technology Licensing, Llc Identity attack detection and blocking
CN112001651A (zh) * 2020-08-28 2020-11-27 阳光学院 一种智慧用电能耗分析方法

Also Published As

Publication number Publication date
US20170201531A1 (en) 2017-07-13

Similar Documents

Publication Publication Date Title
KR101600295B1 (ko) 개인화된 접속주기 전체 이용행위 패턴분석을 이용한 비정상 행위 탐지시스템
KR20170082937A (ko) 개인화된 접속주기 전체 이용행위 2차 분석을 이용한 비정상 행위 탐지시스템
KR101619414B1 (ko) 개인화된 초기 이용행위 패턴분석을 이용한 비정상 행위 탐지시스템
KR101501669B1 (ko) 비정상 행위를 탐지하기 위한 행위 탐지 시스템
KR20170082936A (ko) 개인화된 접속주기 전체 이용행위 패턴 오차율 편차를 고려한 비정상 행위 탐지시스템
US9609010B2 (en) System and method for detecting insider threats
US9154516B1 (en) Detecting risky network communications based on evaluation using normal and abnormal behavior profiles
US9635049B1 (en) Detection of suspicious domains through graph inference algorithm processing of host-domain contacts
US20190141125A1 (en) Cross application access provisioning system
US9338187B1 (en) Modeling user working time using authentication events within an enterprise network
US9147055B2 (en) Entitlement predictions
US8438619B2 (en) Network access control
US20090055465A1 (en) Remote Health Monitoring and Control
EP3395033A1 (en) Accurate real-time identification of malicious bgp hijacks
US8214897B2 (en) System and method for usage-based misinformation detection and response
CN102724208B (zh) 用于控制对网络资源的访问的系统和方法
US11620182B2 (en) System for resolution of technical issues using computing system-specific contextual data
US11811812B1 (en) Classification model to detect unauthorized network behavior
US20240031380A1 (en) Unifying of the network device entity and the user entity for better cyber security modeling along with ingesting firewall rules to determine pathways through a network
US20220263854A1 (en) Automated product update management in managed networks
KR101619419B1 (ko) 개인화된 연속행위 패턴분석을 이용한 비정상 행위 탐지시스템
KR101366622B1 (ko) 비인가 접근 제어를 위한 노드 식별을 위한 플랫폼 인식장치
US9621582B1 (en) Generating pharming alerts with reduced false positives
KR20190104759A (ko) 지능형 장비 이상 증상 사전 탐지 시스템 및 방법
KR100359564B1 (ko) 인터넷을 이용한 통합 네트워크 관리 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application