KR20180018238A - 정보 유출 위험도 판단 방법 및 장치 - Google Patents

정보 유출 위험도 판단 방법 및 장치 Download PDF

Info

Publication number
KR20180018238A
KR20180018238A KR1020160134837A KR20160134837A KR20180018238A KR 20180018238 A KR20180018238 A KR 20180018238A KR 1020160134837 A KR1020160134837 A KR 1020160134837A KR 20160134837 A KR20160134837 A KR 20160134837A KR 20180018238 A KR20180018238 A KR 20180018238A
Authority
KR
South Korea
Prior art keywords
information
machine learning
risk value
user
new data
Prior art date
Application number
KR1020160134837A
Other languages
English (en)
Other versions
KR101867299B1 (ko
Inventor
김명호
이예슬
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Publication of KR20180018238A publication Critical patent/KR20180018238A/ko
Application granted granted Critical
Publication of KR101867299B1 publication Critical patent/KR101867299B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Computational Linguistics (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 정보 유출 위험도 판단 방법 및 장치를 개시한다. 본 발명의 일 측면에 따른 머신 러닝을 이용한 정보 유출 위험도 판단 장치에서의 정보 유출 위험도 판단 방법은, 보안 솔루션을 통해 수집된 보안 이벤트 정보 및 사용자 정보를 포함하는 로그 데이터를 머신 러닝 알고리즘을 이용하여 학습시킴으로써, 사용자별 이벤트에 따른 위험도 값을 포함하는 머신 러닝 모델을 생성하는 단계; 및 신규 데이터가 입력되면, 상기 학습된 머신 러닝 모델을 이용해 정보 유출에 대한 위험도 값을 판단하는 단계;를 포함한다.

Description

정보 유출 위험도 판단 방법 및 장치{METHOD AND APPARATUS FOR DETERMINING INFORMATION LEAKAGE RISK}
본 발명은 정보 유출 위험도 판단 방법 및 장치에 관한 것으로, 더욱 상세하게는 머신 러닝을 이용해 로그 데이터를 학습시키고, 학습된 결과를 통해 신규 데이터의 입력시 자동으로 정보 유출에 대한 위험도를 산출할 수 있는 정보 유출 위험도 판단 방법 및 장치에 관한 것이다.
기업 내에서 현재 발생하고 있는 정보와 관련한 대부분의 보안 사고는 내부에서 발생한다.
기업에서는 보안 솔루션을 구축하여 정보 유출을 방지하고 있지만, 개별 구축된 정보 유출 차단 시스템의 증가와 분석 업무의 다양화로 인해 관리 인력 및 통합 모니터링의 한계가 대두되고 있으며, 다양한 유출 시도 및 경로에 대한 추적의 어려움이 발생하고 있다. 이러한 문제점을 해결하기 위해, 정보 유출 관련 로그의 통합과 누가, 어떤 정보를 어떻게 유출하려고 시도했는지에 대한 패턴을 분석하고 감시할 수 있는 솔루션들이 구축되었다. 하지만, 기존의 솔루션들은 다양한 유출 경로에 대한 시나리오 기반 분석, 통계 분석을 통해 정보 유출에 대한 위험도를 관리자가 직접 산출하고, 산출된 위험도에 따라 내부 정보 유출 시도에 대한 모니터링 및 탐지를 하고 있다. 이에 따르면 종래 기술은, 관리 포인트의 증가 및 단편적인 모니터링과 대응의 한계 등으로 정보 유출을 사전에 효과적으로 탐지하지 못하며, 관리 비용이 증가하는 문제점이 발생한다.
한국공개특허 제2008-0029602호(2008.04.03 공개)
본 발명은 상기와 같은 문제점을 해결하기 위해 제안된 것으로서, 머신 러닝을 이용해 로그 데이터를 학습시키고, 학습된 결과를 통해 신규 데이터의 입력시 자동으로 정보 유출에 대한 위험도를 산출하여, 정보 유출을 탐지할 수 있는 정보 유출 위험도 판단 방법 및 장치를 제공하는데 그 목적이 있다.
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 일 실시 예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.
상기와 같은 목적을 달성하기 위한 본 발명의 일 측면에 따른 머신 러닝을 이용한 정보 유출 위험도 판단 장치에서의 정보 유출 위험도 판단 방법은, 보안 솔루션을 통해 수집된 보안 이벤트 정보 및 사용자 정보를 포함하는 로그 데이터를 머신 러닝 알고리즘을 이용하여 학습시킴으로써, 사용자별 이벤트에 따른 위험도 값을 포함하는 머신 러닝 모델을 생성하는 단계; 및 신규 데이터가 입력되면, 상기 학습된 머신 러닝 모델을 이용해 정보 유출에 대한 위험도 값을 판단하는 단계;를 포함한다.
상기 머신 러닝 모델을 생성하는 단계에서는, 상기 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 관리자 단말로 전송하여, 상기 관리자 단말로부터 재학습에 대한 요청 메시지를 수신하는 경우, 상기 재학습에 대한 요청 메시지에 포함된 정보를 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재생성할 수 있다.
상기 재학습에 대한 요청 메시지에 포함된 정보는, 관리자에 의해 재산출된 위험도 값을 포함할 수 있으며, 상기 재학습에 대한 요청 메시지에 포함된 정보를 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재생성하는 것은, 상기 재산출된 위험도 값을 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재성성할 수 있다.
상기 위험도 값을 판단하는 단계에서는, 입력되는 신규 데이터에 포함된 보안 이벤트 정보 및 사용자 정보와 머신 러닝 모델에 포함된 보안 이벤트 정보 및 사용자 정보를 각각 비교하여 신규 데이터에 대한 위험도 값을 산출할 수 있다.
입력되는 신규 데이터에 포함된 보안 이벤트 정보 및 사용자 정보와 머신 러닝 모델에 포함된 보안 이벤트 정보 및 사용자 정보를 각각 비교하여 신규 데이터에 대한 위험도 값을 산출하되, 머신 러닝 모델에서 보안 이벤트 정보가 유사한 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 유사도가 높은 순으로 다수 개 선출하고, 상기 선출된 정보에 포함된 사용자 정보와 신규 데이터에 포함된 사용자 정보를 비교하여 가장 유사도가 높은 하나의 정보에 포함된 위험도 값을 신규 데이터의 사용자별 이벤트에 대한 위험도 값으로 산출할 수 있다.
입력되는 신규 데이터에 포함된 보안 이벤트 정보 및 사용자 정보와 머신 러닝 모델에 포함된 보안 이벤트 정보 및 사용자 정보를 각각 비교하여 신규 데이터에 대한 위험도 값을 산출하되, 머신 러닝 모델에서 사용자 정보가 유사한 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 유사도가 높은 순으로 다수 개 선출하고, 상기 선출된 정보에 포함된 보안 이벤트 정보와 신규 데이터에 포함된 보안 이벤트 정보를 비교하여 가장 유사도가 높은 하나의 정보에 포함된 위험도 값을 신규 데이터의 사용자별 이벤트에 대한 위험도 값으로 산출할 수 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 다른 측면에 따른 정보 유출 위험도 판단 장치는, 보안 솔루션을 통해 수집된 보안 이벤트 정보 및 사용자 정보를 포함하는 로그 데이터를 머신 러닝 알고리즘을 이용하여 학습시킴으로써, 사용자별 이벤트에 따른 위험도 값을 포함하는 머신 러닝 모델을 생성하는 머신 러닝 모델 생성부; 및 신규 데이터가 입력되면, 상기 학습된 머신 러닝 모델을 이용해 정보 유출에 대한 위험도 값을 판단하는 위험도 값 판단부;를 포함한다.
상기 머신 러닝 모델 생성부는, 상기 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 관리자 단말로 전송하여, 상기 관리자 단말로부터 재학습에 대한 요청 메시지를 수신하는 경우, 상기 재학습에 대한 요청 메시지에 포함된 정보를 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재생성할 수 있다.
상기 재학습에 대한 요청 메시지에 포함된 정보는, 관리자에 의해 재산출된 위험도 값을 포함할 수 있으며, 상기 재학습에 대한 요청 메시지에 포함된 정보를 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재생성하는 것은, 상기 재산출된 위험도 값을 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재성성할 수 있다.
상기 위험도 값 판단부는, 입력되는 신규 데이터에 포함된 보안 이벤트 정보 및 사용자 정보와 머신 러닝 모델에 포함된 보안 이벤트 정보 및 사용자 정보를 각각 비교하여 신규 데이터에 대한 위험도 값을 산출할 수 있다.
입력되는 신규 데이터에 포함된 보안 이벤트 정보 및 사용자 정보와 머신 러닝 모델에 포함된 보안 이벤트 정보 및 사용자 정보를 각각 비교하여 신규 데이터에 대한 위험도 값을 산출하되, 머신 러닝 모델에서 보안 이벤트 정보가 유사한 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 유사도가 높은 순으로 다수 개 선출하고, 상기 선출된 정보에 포함된 사용자 정보와 신규 데이터에 포함된 사용자 정보를 비교하여 가장 유사도가 높은 하나의 정보에 포함된 위험도 값을 신규 데이터의 사용자별 이벤트에 대한 위험도 값으로 산출할 수 있다.
입력되는 신규 데이터에 포함된 보안 이벤트 정보 및 사용자 정보와 머신 러닝 모델에 포함된 보안 이벤트 정보 및 사용자 정보를 각각 비교하여 신규 데이터에 대한 위험도 값을 산출하되, 머신 러닝 모델에서 사용자 정보가 유사한 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 유사도가 높은 순으로 다수 개 선출하고, 상기 선출된 정보에 포함된 보안 이벤트 정보와 신규 데이터에 포함된 보안 이벤트 정보를 비교하여 가장 유사도가 높은 하나의 정보에 포함된 위험도 값을 신규 데이터의 사용자별 이벤트에 대한 위험도 값으로 산출할 수 있다.
본 발명의 일 측면에 따르면, 머신 러닝을 이용해 다양한 정보 유출 관련 이벤트들의 종합 분석을 통해 위험도 값을 산출함에 따라, 정보 유출을 보다 효율적으로 탐지할 수 있는 효과가 있다.
또한, 신규 데이터가 입력되더라도 자동적으로 정보 유출에 대한 위험도 값을 산출할 수 있어 보안 관리의 효율성이 뛰어나다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시 예를 예시하는 것이며, 발명을 실시하기 위한 구체적인 내용들과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되어서는 아니 된다.
도 1은 머신 러닝의 개념을 도시한 도면,
도 2는 본 발명의 일 실시 예에 따른 시스템의 개략적인 구성을 도시한 도면,
도 3은 도 2의 정보 유출 위험도 판단 장치의 구성을 개략적으로 도시한 블록도,
도 4는 본 발명의 일 실시 예에 따른 보안 이벤트 정보를 도시한 도면,
도 5는 본 발명의 일 실시 예에 따른 사용자 정보를 도시한 도면,
도 6은 본 발명의 일 실시 예에 따른 사용자별 이벤트에 따른 위험도 값 정보를 도시한 도면,
도 7은 본 발명의 일 실시 예에 따른 정보 유출 위험도 판단 방법의 흐름을 도시한 도면이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시 예를 상세히 설명하기로 한다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 “…부” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 1은 머신 러닝의 개념을 도시한 도면이다.
머신 러닝(Machine Learning : 기계학습)은 인간이 갖고 있는 고유의 지능적 기능인 학습 능력을 기계를 통해 구현하는 방법이다. 머신 러닝은 환경과의 상호 작용에 기반을 둔 데이터로부터 스스로 성능을 향상시키는 알고리즘 및 기술을 개발할 수 있다. 즉, 머신 러닝은 컴퓨터에게 사람이 직접 명시적으로 로직을 지시하지 않아도 데이터를 통해 컴퓨터가 학습을 하고, 그것을 사용해 컴퓨터가 자동으로 문제를 해결하도록 할 수 있다.
도 1에 도시된 바와 같이, 머신 러닝은, 주어진 데이터(training data)에 포함된 정보들을 머신 러닝 알고리즘에 학습시켜 관계(머신 러닝 모델)를 찾는 과정일 수 있다. 이때, 주어진 데이터(training data)는 학습을 위해 외부에서 주어는 데이터일 수 있다. 머신 러닝 알고리즘은 신경망 알고리즘일 수 있다. 일반적으로 신경망은, 시간에 따른 날씨의 변화 등과 같이 수학적으로 해결되지 않는 복잡한 문제들을 분석하는데 유용하고, 다양한 문제에 적용이 가능하며, 복잡한 문제에 우수한 결과를 보이고, 과거의 통계학적 분석 방법에 비해 학습을 통해 분석하므로 비교적 올바른 결과를 보인다. 또한, 분석 시간이 짧고, 계산 비용이 적으며, 패턴 인식, 예측, 분류 등에 효과적이라는 장점을 가진다.
주어진 데이터(training data)는 신경망 알고리즘을 통해 학습되고, 그 결과가 머신러닝 모델로 피드백될 수 있다. 이후, 학습된 머신 러닝 모델에 신규 데이터(test data)를 입력하게 되면, 학습된 머신 러닝 모델을 기초로 신규 데이터를 판단한 결과가 산출될 수 있다.
머신 러닝의 종류는 아래와 같다.
1) 지도 학습(Supervised Learning)
: 학습 시 출력 값을 미리 알려주는 '교사(supervised)' 가 존재하는 형태로, 주로 인식, 분류 진단 예측 등의 문제 해결에 적합하다.
2) 비지도학습(Unsupervised Learning)
: 학습 시 출력 값에 대한 정보 없이(교사없이) 학습이 이루어지는 형태로, 군집화, 밀도 추정, 차원축소, 특징 추출 등이 필요한 문제에 적합하다.
3) 강화학습(Reinforcement Learning)
: 상태(state)에서 어떤 행동(action)을 취하는 것이 최적인지를 학습하는 것으로, 행동을 취할 때마다 외부 환경에서 보상(reward)이 주어지며, 보상을 최대화하는 방향으로 학습이 진행될 수 있다.
머신 러닝의 종류는 상술한 것 이외에, 다양하게 존재할 수 있으며, 그 종류는 공지되어 있으므로 보다 자세한 설명은 생략하기로 한다.
도 2는 본 발명의 일 실시 예에 따른 시스템의 개략적인 구성을 도시한 도면, 도 3은 도 2의 정보 유출 위험도 판단 장치의 구성을 개략적으로 도시한 블록도, 도 4는 본 발명의 일 실시 예에 따른 보안 이벤트 정보를 도시한 도면, 도 5는 본 발명의 일 실시 예에 따른 사용자 정보를 도시한 도면, 도 6은 본 발명의 일 실시 예에 따른 사용자별 이벤트에 따른 위험도 값 정보를 도시한 도면이다.
본 실시 예를 설명함에 있어서, 정보 유출 위험도 판단 장치(300)는 상술한 바와 같은 머신 러닝의 기본 개념을 적용하여 로그 데이터를 학습하고, 머신 러닝 모델을 생성할 수 있다.
도 2를 참조하면, 본 실시 예에 다른 정보 유출 위험도 판단 시스템은, 사용자 단말(100), 보안 솔루션(200) 및 정보 유출 위험도 판단 장치(300)를 포함할 수 있다.
사용자 단말(100)은, 사용자(예컨대, 시스템이 적용되는 장소가 기업인 경우 직원)가 기업 내의 시스템에 접속하기 위해 소유한 단말일 수 있다. 본 실시 예에서 사용자 단말(100)은, 기업 내의 시스템과 네트워크로 연결된 컴퓨터로 설명하기로 한다. 하지만, 이에 한하지 않으며, 사용자 단말(100)은 기업 내의 시스템과 네트워크로 연결되어 사용자가 기업 내의 시스템에 접근할 수 있는 장치이면 관계없다. 사용자 단말(100)은 기업 내의 시스템에 접속하여 어떤 행위를 취하는 경우, 사용자 정보 및 보안 이벤트 정보를 포함하는 신규 데이터를 발생시킬 수 있으며, 상기 신규 데이터는 정보 유출 위험도 판단 장치(300)로 전송될 수 있다.
보안 솔루션(200)은 로그 데이터를 수집할 수 있으며, 수집된 로그 데이터를 정보 유출 위험도 판단 장치(300)로 전송할 수 있다. 이때, 로그 데이터는 보안 이벤트 정보 및 사용자 정보를 포함할 수 있다. 보안 이벤트 정보는, 도 3에 도시된 바와 같이, 기업 내 시스템에 접근하는 사용자의 행위 정보를 포함할 수 있다. 예를 들어, 사용자의 행위 정보는, 기밀정보의 암호화 해지 시도, 차단된 웹 하드에 접속하여 파일을 업로드, 암호화된 파일 출력 등과 같은 것일 수 있다. 또한, 사용자 정보는, 도 4에 도시된 바와 같이, 사원번호, 사원명, 사용자가 소유한 단말의 IP 주소, 사용자가 소유한 단말의 MAC 주소 및 보안등급 정보 등일 수 있다.
정보 유출 위험도 판단 장치(300)는, 보안 솔루션(200)으로부터 로그 데이터를 수신하고, 수신된 로그 데이터를 머신 러닝 알고리즘을 이용해 학습시킴으로써, 머신 러닝 모델을 생성할 수 있다. 상기 머신 러닝 알고리즘은, 신경망 알고리즘일 수 있다. 이때, 생성된 머신 러닝 모델은, 도 5에 도시된 바와 같이, 사용자별 이벤트에 따른 위험도 값 정보를 포함할 수 있다.
정보 유출 위험도 판단 장치(300)는, 사용자 단말(100)로부터 신규 데이터를 수신하면, 생성된 머신 러닝 모델을 이용해 신규 데이터에 대한 위험도 값을 산출할 수 있다. 산출되는 위험도 값은 0 내지 1의 범위를 가지며, 0에 가까울수록 정상(사용자의 행위가 정보 유출과 관련성이 적음)이고, 1에 가까울수록 위험(사용자의 행위가 정보 유출과 관련성이 많음)임을 의미할 수 있다. 한편, 정보 유출 위험도 판단 장치(300)는, 관리자 단말(400)로부터 재학습 요청 메시지를 수신하면, 재학습 요청 메시지에 포함된 정보를 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재성성할 수 있다. 재학습 요청 메시지는, 관리자의 판단에 따라 위험도 값의 재산출이 이루어지면 정보 유출 위험도 판단 장치(300)로 전송될 수 있다. 한편, 정보 유출 위험도 판단 장치(300)는 데이터베이스를 구비하여, 보안 솔루션(200)으로부터 입력되는 로그 데이터에 포함된 보안 이벤트 정보 및 사용자 정보를 저장할 수 있다. 이때, 생성된 머신 러닝 모델에 포함된 사용자별 이벤트에 따른 위험도 값 정보는, 데이터베이스에 구비된 로그 데이터의 보안 이벤트 정보 및 사용자 정보와 매핑되어, 신규 데이터의 입력시 위험도 값을 판단함에 있어서 참조될 수 있다. 한편, 정보 유출 위험도 판단 장치(300)는 수신된 신규 데이터에 포함된 보안 이벤트 정보 및/또는 사용자 정보와 동일한 정보에 대한 위험도 값이 데이터베이스에 산출되어 있지 않을 경우, 정보 유출 위험도 판단 장치(300)는 신규 데이터에 포함된 보안 이벤트 정보 및/또는 사용자 정보와 가장 유사한 정보를 참조하여 위험도 값을 추정하여 산출할 수 있다. 예컨대, 정보 유출 위험도 판단 장치(300)는 수신된 신규 데이터에 포함된 보안 이벤트 정보가 “퇴직 예정자가 암호화된 파일을 삭제하는 경우”일 경우, 이에 대한 위험도 값 산출을 위해 로그 데이터의 보안 이벤트 정보 및 사용자 정보가 매핑된 데이터베이스를 참조할 수 있다. 이때, 정보 유출 위험도 판단 장치(300)는 수신된 신규 데이터에 포함된 보안 이벤트 정보와 그 기능이 가장 유사한 보안 이벤트 정보들을 기초로 위험도 값을 추정하여 산출할 수 있다. 예컨대, 정보 유출 위험도 판단 장치(300)는 수신된 신규 데이터에 포함된 보안 이벤트 정보가 “퇴직 예정자가 암호화된 파일을 삭제하는 경우”인 경우, 정확히 일치하는 보안 이벤트 정보가 존재하지 않고 이와 가장 유사한 보안 이벤트 정보들(예를 들어, “퇴직예정자가 암호화된 파일을 이동시키는 경우” 또는 “권한이 없는 자가 암호화된 파일을 삭제하는 경우” 등)이 존재할 때, 상술한 수신된 신규 데이터에 포함된 보안 이벤트 정보와 그 기능이 가장 유사한 보안 이벤트 정보들이 가진 위험도 값을 기초로 위험도 값을 추정하여 산출할 수 있다. 이때, 추정하여 산출되는 위험도 값은 수신된 신규 데이터에 포함된 보안 이벤트 정보와 그 기능이 가장 유사한 보안 이벤트 정보들이 가진 위험도 값의 평균값일 수 있다.
또한, 정보 유출 위험도 판단 장치(300)는 수신된 신규 데이터에 포함된 사용자 정보가 위험도 값 산출을 위해 참조하는 로그 데이터의 보안 이벤트 정보 및 사용자 정보가 매핑된 데이터베이스에 존재하지 않을 경우, 그와 가장 유사한 사용자 정보들을 기초로 위험도 값을 추정하여 산출할 수 있다. 예컨대, 정보 유출 위험도 판단 장치(300)는 수신된 신규 데이터에 포함된 사용자 정보가 “이름”일 경우, 이에 대한 위험도 값 산출을 위해 로그 데이터의 보안 이벤트 정보 및 사용자 정보가 매핑된 데이터베이스를 참조할 수 있다. 이때, 정보 유출 위험도 판단 장치(300)는 수신된 신규 데이터에 포함된 사용자 정보(예를 들어 “이름”)에 해당하는 위험도 값이 참조한 데이터베이스에 존재하지 않으면, 수신된 신규 데이터에 포함된 사용자 정보(예를 들어 “이름”)와 같은 직급에 해당하는 사용자에게 부여된 보안등급에 해당하는 위험도 값을 기초로, 수신된 신규 데이터에 포함된 사용자 정보(예를 들어 “이름”)에 해당하는 위험도 값을 추정하여 산출할 수 있다. 한편, 정보 유출 위험도 판단 장치(300)는 상기 추정된 위험도 값을 관리자 단말로 전송할 수 있으며, 상기 관리자 단말에 의해 재학습 요청 메시지가 수신될 경우, 상술한 내용을 반복 수행하여 위험도 값을 재산출할 수 있다.
상술한 정보 유출 위험도 판단 장치(300)와 관련한 보다 자세한 설명은 도 3을 통해 후술하기로 한다.
도 3을 참조하면, 정보 유출 위험도 판단 장치(300)는, 머신 러닝 모델 생성부(310) 및 위험도 값 판단부(330)를 포함할 수 있다.
머신 러닝 모델 생성부(310)는, 보안 솔루션(200)을 통해 수집된 로그 데이터를 머신 러닝 알고리즘을 이용하여 학습시키고, 머신 러닝 모델을 생성할 수 있다. 로그 데이터는, 보안 솔루션(200)을 통해 수집된 보안 이벤트 정보 및 사용자 정보를 포함할 수 있다. 또한, 생성된 머신 러닝 모델은 사용자별 이벤트에 따른 위험도 값을 포함할 수 있다.
머신 러닝 모델 생성부(310)는, 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 관리자 단말(400)로 전송할 수 있다. 머신 러닝 모델 생성부(310)는, 관리자 단말(400)로부터 재학습에 대한 요청 메시지를 수신하는 경우, 재학습에 대한 요청 메시지에 포함된 정보를 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재생성할 수 있다. 한편, 재학습에 대한 요청 메시지에 포함된 정보는, 관리자에 의해 재산출된 위험도 값을 포함할 수 있다. 관리자는 단말을 통해 머신 러닝 모델 생성부(310)로부터 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 수신하는 경우, 이를 확인하고 위험도 값을 재산출할 수 있다. 위험도 값의 재산출은 관리자의 임의적인 판단에 의해 수행될 수 있다. 예컨대, 관리자는 사용자별 이벤트에 대한 위험도 값이 너무 높다고 판단될 경우, 적절한 수치로 재산출할 수 있으며, 사용자별 이벤트에 대한 위험도 값이 너무 낮다고 판단될 경우, 적절한 수치로 재산출할 수 있다. 이때, 머신 러닝 모델 생성부(310)는, 재산출된 위험도 값을 기초로 머신 러닝 알고리즘(신경망 알고리즘)을 이용해 재학습하여 머신 러닝 모델을 재성성할 수 있다.
위험도 값 판단부(330)는, 학습된 머신 러닝 모델을 이용해 정보 유출에 대한 위험도 값을 판단한다. 예컨대, 위험도 값 판단부(330)는, 사용자 단말(100)로부터 신규 데이터가 입력되면, 학습된 머신 러닝 모델을 이용해 정보 유출에 대한 위험도 값을 판단할 수 있다. 위험도 값 판단부(330)는, 입력되는 신규 데이터에 포함된 보안 이벤트 정보 및 사용자 정보와 머신 러닝 모델에 포함된 보안 이벤트 정보 및 사용자 정보를 각각 비교하여 신규 데이터에 대한 위험도 값을 산출할 수 있다. 예컨대, 위험도 값 판단부(330)는, 머신 러닝 모델에서 보안 이벤트 정보가 유사한 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 유사도가 높은 순으로 다수 개 선출하고, 상기 선출된 정보에 포함된 사용자 정보와 신규 데이터에 포함된 사용자 정보를 비교하여 가장 유사도가 높은 하나의 정보에 포함된 위험도 값을 신규 데이터의 사용자별 이벤트에 대한 위험도 값으로 산출할 수 있다. 또한, 위험도 값 판단부(330)는, 머신 러닝 모델에서 사용자 정보가 유사한 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 유사도가 높은 순으로 다수 개 선출하고, 상기 선출된 정보에 포함된 보안 이벤트 정보와 신규 데이터에 포함된 보안 이벤트 정보를 비교하여 가장 유사도가 높은 하나의 정보에 포함된 위험도 값을 신규 데이터의 사용자별 이벤트에 대한 위험도 값으로 산출할 수 있다.
이하, 상술한 본 실시 예에 따른 정보 유출 위험도 판단 장치(300)에서의 정보 유출 위험도 판단 방법에 대해 설명하기로 한다.
도 7은 본 발명의 일 실시 예에 따른 정보 유출 위험도 판단 방법의 흐름을 도시한 도면이다.
도 7을 참조하면, 본 실시 예에 따른 정보 유출 위험도 판단 방법은, 머신 러닝 모델 생성 단계 및 위험도 값 판단 단계를 포함한다.
머신 러닝 모델 생성 단계에서는, 보안 솔루션(200)을 통해 수집된 로그 데이터를 머신 러닝 알고리즘을 이용하여 학습시키고, 머신 러닝 모델을 생성할 수 있다(410). 로그 데이터는, 보안 솔루션(200)을 통해 수집된 보안 이벤트 정보 및 사용자 정보를 포함할 수 있다. 또한, 생성된 머신 러닝 모델은 사용자별 이벤트에 따른 위험도 값을 포함할 수 있다. 이때, 정보 유출 위험도 판단 장치(300)는, 정보 유출 위험도 판단 장치(300)가 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 관리자 단말(400)로 전송할 수 있다. 정보 유출 위험도 판단 장치(300)는, 관리자 단말(400)로부터 재학습에 대한 요청 메시지를 수신하는 경우, 재학습에 대한 요청 메시지에 포함된 정보를 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재생성할 수 있다(430)(450). 한편, 재학습에 대한 요청 메시지에 포함된 정보는, 관리자에 의해 재산출된 위험도 값을 포함할 수 있다. 관리자는 단말을 통해 정보 유출 위험도 판단 장치(300)로부터 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 수신하는 경우, 이를 확인하고 위험도 값을 재산출할 수 있다. 위험도 값의 재산출은 관리자의 임의적인 판단에 의해 수행될 수 있다. 예컨대, 관리자는 사용자별 이벤트에 대한 위험도 값이 너무 높다고 판단될 경우, 적절한 수치로 재산출할 수 있으며, 사용자별 이벤트에 대한 위험도 값이 너무 낮다고 판단될 경우, 적절한 수치로 재산출할 수 있다. 이때, 정보 유출 위험도 판단 장치(300)는, 재산출된 위험도 값을 기초로 머신 러닝 알고리즘(신경망 알고리즘)을 이용해 재학습하여 머신 러닝 모델을 재성성할 수 있다.
위험도 값 판단 단계에서는, 학습된 머신 러닝 모델을 이용해 정보 유출에 대한 위험도 값을 판단한다(470). 예컨대, 정보 유출 위험도 판단 장치(300)는, 사용자 단말(100)로부터 신규 데이터가 입력되면, 학습된 머신 러닝 모델을 이용해 정보 유출에 대한 위험도 값을 판단할 수 있다. 정보 유출 위험도 판단 장치(300)는, 입력되는 신규 데이터에 포함된 보안 이벤트 정보 및 사용자 정보와 머신 러닝 모델에 포함된 보안 이벤트 정보 및 사용자 정보를 각각 비교하여 신규 데이터에 대한 위험도 값을 산출할 수 있다. 예컨대, 정보 유출 위험도 판단 장치(300)는, 머신 러닝 모델에서 보안 이벤트 정보가 유사한 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 유사도가 높은 순으로 다수 개 선출하고, 상기 선출된 정보에 포함된 사용자 정보와 신규 데이터에 포함된 사용자 정보를 비교하여 가장 유사도가 높은 하나의 정보에 포함된 위험도 값을 신규 데이터의 사용자별 이벤트에 대한 위험도 값으로 산출할 수 있다. 또한, 정보 유출 위험도 판단 장치(300)는, 머신 러닝 모델에서 사용자 정보가 유사한 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 유사도가 높은 순으로 다수 개 선출하고, 상기 선출된 정보에 포함된 보안 이벤트 정보와 신규 데이터에 포함된 보안 이벤트 정보를 비교하여 가장 유사도가 높은 하나의 정보에 포함된 위험도 값을 신규 데이터의 사용자별 이벤트에 대한 위험도 값으로 산출할 수 있다.
상술한 바에 따르면, 본 발명은 머신 러닝을 이용해 다양한 정보 유출 관련 이벤트들의 종합 분석을 통해 위험도 값을 산출함에 따라, 정보 유출을 보다 효율적으로 탐지할 수 있는 효과가 있다.
또한, 신규 데이터가 입력되더라도 자동적으로 정보 유출에 대한 위험도 값을 산출할 수 있어 보안 관리의 효율성이 뛰어나다.
본 발명의 실시 예에 따른 방법들은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는, 본 발명을 위한 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 아니 된다. 또한, 본 명세서의 개별적인 실시 예에서 설명된 특징들은 단일 실시 예에서 결합되어 구현될 수 있다. 반대로, 본 명세서의 단일 실시 예에서 설명된 다양한 특징들은 개별적으로 다양한 실시 예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시 예에서 다양한 시스템 구성요소의 구분은 모든 실시 예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 앱 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것은 아니다.
300 : 정보 유출 위험도 판단 장치
310 : 머신 러닝 모델 생성부
330 : 위험도 값 판단부

Claims (12)

  1. 머신 러닝을 이용한 정보 유출 위험도 판단 장치에서의 정보 유출 위험도 판단 방법에 있어서,
    보안 솔루션을 통해 수집된 보안 이벤트 정보 및 사용자 정보를 포함하는 로그 데이터를 머신 러닝 알고리즘을 이용하여 학습시킴으로써, 사용자별 이벤트에 따른 위험도 값을 포함하는 머신 러닝 모델을 생성하는 단계; 및
    신규 데이터가 입력되면, 상기 학습된 머신 러닝 모델을 이용해 정보 유출에 대한 위험도 값을 판단하는 단계;를 포함하는 정보 유출 위험도 판단 방법.
  2. 제 1 항에 있어서,
    상기 머신 러닝 모델을 생성하는 단계에서는,
    상기 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 관리자 단말로 전송하여, 상기 관리자 단말로부터 재학습에 대한 요청 메시지를 수신하는 경우, 상기 재학습에 대한 요청 메시지에 포함된 정보를 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재생성하는 정보 유출 위험도 판단 방법.
  3. 제 2 항에 있어서,
    상기 재학습에 대한 요청 메시지에 포함된 정보는, 관리자에 의해 재산출된 위험도 값을 포함할 수 있으며,
    상기 재학습에 대한 요청 메시지에 포함된 정보를 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재생성하는 것은,
    상기 재산출된 위험도 값을 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재성성하는 정보 유출 위험도 판단 방법.
  4. 제 1 항에 있어서,
    상기 위험도 값을 판단하는 단계에서는,
    입력되는 신규 데이터에 포함된 보안 이벤트 정보 및 사용자 정보와 머신 러닝 모델에 포함된 보안 이벤트 정보 및 사용자 정보를 각각 비교하여 신규 데이터에 대한 위험도 값을 산출하는 정보 유출 위험도 판단 방법.
  5. 제 4 항에 있어서,
    입력되는 신규 데이터에 포함된 보안 이벤트 정보 및 사용자 정보와 머신 러닝 모델에 포함된 보안 이벤트 정보 및 사용자 정보를 각각 비교하여 신규 데이터에 대한 위험도 값을 산출하되,
    머신 러닝 모델에서 보안 이벤트 정보가 유사한 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 유사도가 높은 순으로 다수 개 선출하고, 상기 선출된 정보에 포함된 사용자 정보와 신규 데이터에 포함된 사용자 정보를 비교하여 가장 유사도가 높은 하나의 정보에 포함된 위험도 값을 신규 데이터의 사용자별 이벤트에 대한 위험도 값으로 산출하는 정보 유출 위험도 판단 방법.
  6. 제 4 항에 있어서,
    입력되는 신규 데이터에 포함된 보안 이벤트 정보 및 사용자 정보와 머신 러닝 모델에 포함된 보안 이벤트 정보 및 사용자 정보를 각각 비교하여 신규 데이터에 대한 위험도 값을 산출하되,
    머신 러닝 모델에서 사용자 정보가 유사한 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 유사도가 높은 순으로 다수 개 선출하고, 상기 선출된 정보에 포함된 보안 이벤트 정보와 신규 데이터에 포함된 보안 이벤트 정보를 비교하여 가장 유사도가 높은 하나의 정보에 포함된 위험도 값을 신규 데이터의 사용자별 이벤트에 대한 위험도 값으로 산출하는 정보 유출 위험도 판단 방법.
  7. 보안 솔루션을 통해 수집된 보안 이벤트 정보 및 사용자 정보를 포함하는 로그 데이터를 머신 러닝 알고리즘을 이용하여 학습시킴으로써, 사용자별 이벤트에 따른 위험도 값을 포함하는 머신 러닝 모델을 생성하는 머신 러닝 모델 생성부; 및
    신규 데이터가 입력되면, 상기 학습된 머신 러닝 모델을 이용해 정보 유출에 대한 위험도 값을 판단하는 위험도 값 판단부;를 포함하는 정보 유출 위험도 판단 장치.
  8. 제 7 항에 있어서,
    상기 머신 러닝 모델 생성부는,
    상기 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 관리자 단말로 전송하여, 상기 관리자 단말로부터 재학습에 대한 요청 메시지를 수신하는 경우, 상기 재학습에 대한 요청 메시지에 포함된 정보를 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재생성하는 정보 유출 위험도 판단 장치.
  9. 제 8 항에 있어서,
    상기 재학습에 대한 요청 메시지에 포함된 정보는, 관리자에 의해 재산출된 위험도 값을 포함할 수 있으며,
    상기 재학습에 대한 요청 메시지에 포함된 정보를 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재생성하는 것은,
    상기 재산출된 위험도 값을 기초로 머신 러닝 알고리즘을 이용해 재학습하여 머신 러닝 모델을 재성성하는 정보 유출 위험도 판단 장치.
  10. 제 7 항에 있어서,
    상기 위험도 값 판단부는,
    입력되는 신규 데이터에 포함된 보안 이벤트 정보 및 사용자 정보와 머신 러닝 모델에 포함된 보안 이벤트 정보 및 사용자 정보를 각각 비교하여 신규 데이터에 대한 위험도 값을 산출하는 정보 유출 위험도 판단 장치.
  11. 제 10 항에 있어서,
    입력되는 신규 데이터에 포함된 보안 이벤트 정보 및 사용자 정보와 머신 러닝 모델에 포함된 보안 이벤트 정보 및 사용자 정보를 각각 비교하여 신규 데이터에 대한 위험도 값을 산출하되,
    머신 러닝 모델에서 보안 이벤트 정보가 유사한 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 유사도가 높은 순으로 다수 개 선출하고, 상기 선출된 정보에 포함된 사용자 정보와 신규 데이터에 포함된 사용자 정보를 비교하여 가장 유사도가 높은 하나의 정보에 포함된 위험도 값을 신규 데이터의 사용자별 이벤트에 대한 위험도 값으로 산출하는 정보 유출 위험도 판단 장치.
  12. 제 10 항에 있어서,
    입력되는 신규 데이터에 포함된 보안 이벤트 정보 및 사용자 정보와 머신 러닝 모델에 포함된 보안 이벤트 정보 및 사용자 정보를 각각 비교하여 신규 데이터에 대한 위험도 값을 산출하되,
    머신 러닝 모델에서 사용자 정보가 유사한 사용자별 이벤트에 따른 위험도 값을 포함하는 정보를 유사도가 높은 순으로 다수 개 선출하고, 상기 선출된 정보에 포함된 보안 이벤트 정보와 신규 데이터에 포함된 보안 이벤트 정보를 비교하여 가장 유사도가 높은 하나의 정보에 포함된 위험도 값을 신규 데이터의 사용자별 이벤트에 대한 위험도 값으로 산출하는 정보 유출 위험도 판단 장치.
KR1020160134837A 2016-08-10 2016-10-18 정보 유출 위험도 판단 방법 및 장치 KR101867299B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020160101561 2016-08-10
KR20160101561 2016-08-10

Publications (2)

Publication Number Publication Date
KR20180018238A true KR20180018238A (ko) 2018-02-21
KR101867299B1 KR101867299B1 (ko) 2018-06-14

Family

ID=61525020

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160134837A KR101867299B1 (ko) 2016-08-10 2016-10-18 정보 유출 위험도 판단 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101867299B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019216732A1 (ko) * 2018-05-11 2019-11-14 삼성전자주식회사 전자 장치 및 이의 제어 방법
KR20200035614A (ko) * 2018-09-27 2020-04-06 (주)모니터랩 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치 및 방법
KR102110480B1 (ko) * 2020-02-03 2020-05-13 주식회사 이글루시큐리티 비지도 학습 기반의 이상 탐지 방법 및 그 시스템
CN112100623A (zh) * 2020-08-21 2020-12-18 百度在线网络技术(北京)有限公司 机器学习模型的风险评估方法、装置、设备及存储介质
KR102230441B1 (ko) * 2020-12-14 2021-03-22 주식회사 이글루시큐리티 보안 취약점 진단 결과를 기반으로 보안 조치 보고서를 생성하는 방법, 장치 및 프로그램
CN112580089A (zh) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 信息泄露的预警方法及装置、系统、存储介质、电子装置
KR20210106896A (ko) * 2020-02-21 2021-08-31 주식회사 에이치엠아이(HMI Inc.) 보안 통제 관리 시스템 및 그 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110717189A (zh) * 2019-09-29 2020-01-21 支付宝(杭州)信息技术有限公司 数据泄露识别方法、装置及设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080029602A (ko) 2006-09-29 2008-04-03 한국전자통신연구원 기밀문서 유출 방지 방법 및 장치
KR101256507B1 (ko) * 2012-11-13 2013-04-19 국방과학연구소 사용자 행위 분석을 통한 자료유출 탐지 시스템 및 그 방법
KR20150048417A (ko) * 2013-10-28 2015-05-07 주식회사 엘지씨엔에스 보안 위험 예측 방법, 이를 수행하는 예측 서버 및 이를 저장하는 기록매체

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080029602A (ko) 2006-09-29 2008-04-03 한국전자통신연구원 기밀문서 유출 방지 방법 및 장치
KR101256507B1 (ko) * 2012-11-13 2013-04-19 국방과학연구소 사용자 행위 분석을 통한 자료유출 탐지 시스템 및 그 방법
KR20150048417A (ko) * 2013-10-28 2015-05-07 주식회사 엘지씨엔에스 보안 위험 예측 방법, 이를 수행하는 예측 서버 및 이를 저장하는 기록매체

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019216732A1 (ko) * 2018-05-11 2019-11-14 삼성전자주식회사 전자 장치 및 이의 제어 방법
US11270565B2 (en) 2018-05-11 2022-03-08 Samsung Electronics Co., Ltd. Electronic device and control method therefor
KR20200035614A (ko) * 2018-09-27 2020-04-06 (주)모니터랩 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치 및 방법
CN112580089A (zh) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 信息泄露的预警方法及装置、系统、存储介质、电子装置
KR102110480B1 (ko) * 2020-02-03 2020-05-13 주식회사 이글루시큐리티 비지도 학습 기반의 이상 탐지 방법 및 그 시스템
KR20210106896A (ko) * 2020-02-21 2021-08-31 주식회사 에이치엠아이(HMI Inc.) 보안 통제 관리 시스템 및 그 방법
CN112100623A (zh) * 2020-08-21 2020-12-18 百度在线网络技术(北京)有限公司 机器学习模型的风险评估方法、装置、设备及存储介质
CN112100623B (zh) * 2020-08-21 2023-12-22 百度在线网络技术(北京)有限公司 机器学习模型的风险评估方法、装置、设备及存储介质
KR102230441B1 (ko) * 2020-12-14 2021-03-22 주식회사 이글루시큐리티 보안 취약점 진단 결과를 기반으로 보안 조치 보고서를 생성하는 방법, 장치 및 프로그램

Also Published As

Publication number Publication date
KR101867299B1 (ko) 2018-06-14

Similar Documents

Publication Publication Date Title
KR101867299B1 (ko) 정보 유출 위험도 판단 방법 및 장치
US11783033B2 (en) Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions
CN110362612B (zh) 由电子设备执行的异常数据检测方法、装置和电子设备
EP2691848B1 (en) Determining machine behavior
CN111401570B (zh) 针对隐私树模型的解释方法和装置
US20160203316A1 (en) Activity model for detecting suspicious user activity
Verbraken et al. Profit optimizing customer churn prediction with Bayesian network classifiers
US20160371490A1 (en) Systems and methods for data driven malware task identification
US20220414072A1 (en) Severity computation of anomalies in information technology operations
CN110505241A (zh) 一种网络攻击面检测方法及系统
CN110825970A (zh) 一种信息推荐方法、装置、设备及计算机可读存储介质
KR102091076B1 (ko) 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법
US11620474B2 (en) Model reselection for accommodating unsatisfactory training data
Samir et al. Anomaly detection and analysis for clustered cloud computing reliability
CN106534212A (zh) 基于用户行为和数据状态的自适应安全防护方法及系统
US20210158193A1 (en) Interpretable Supervised Anomaly Detection for Determining Reasons for Unsupervised Anomaly Decision
CN115237717A (zh) 一种微服务异常检测方法和系统
Gupta et al. A supervised deep learning framework for proactive anomaly detection in cloud workloads
US11410049B2 (en) Cognitive methods and systems for responding to computing system incidents
Hagemann et al. Reconstruction-based anomaly detection for the cloud: A comparison on the yahoo! webscope s5 dataset
CN110943974A (zh) 一种DDoS异常检测方法及云平台主机
CN114398465A (zh) 互联网服务平台的异常处理方法、装置和计算机设备
KR102372958B1 (ko) 멀티 클라우드 환경에서 애플리케이션 성능 모니터링 방법 및 장치
US11665185B2 (en) Method and apparatus to detect scripted network traffic
CN116909788A (zh) 一种任务导向和视角不变的多模态故障诊断方法及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)