KR20210133598A - 개인정보의 오남용에 대한 이상징후를 모니터링하는 방법 및 장치 - Google Patents

개인정보의 오남용에 대한 이상징후를 모니터링하는 방법 및 장치 Download PDF

Info

Publication number
KR20210133598A
KR20210133598A KR1020200052399A KR20200052399A KR20210133598A KR 20210133598 A KR20210133598 A KR 20210133598A KR 1020200052399 A KR1020200052399 A KR 1020200052399A KR 20200052399 A KR20200052399 A KR 20200052399A KR 20210133598 A KR20210133598 A KR 20210133598A
Authority
KR
South Korea
Prior art keywords
analysis
abnormal
parameter values
log data
anomaly
Prior art date
Application number
KR1020200052399A
Other languages
English (en)
Other versions
KR102373936B1 (ko
Inventor
양용석
Original Assignee
주식회사 오케이첵
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 오케이첵 filed Critical 주식회사 오케이첵
Priority to KR1020200052399A priority Critical patent/KR102373936B1/ko
Publication of KR20210133598A publication Critical patent/KR20210133598A/ko
Application granted granted Critical
Publication of KR102373936B1 publication Critical patent/KR102373936B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3089Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Artificial Intelligence (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명의 일 실시예에 의하면, 이상징후 모니터링 방법은, 서비스업체측 사용자의 행위 파라미터 값 및 로그 데이터를 실시간으로 수집하는 단계; 상기 수집된 서비스업체측 사용자의 행위 파라미터 값 및 로그 데이터를 해당 서비스업체측 사용자의 이상징후 분석 규칙과 비교하여, 이상징후 여부를 탐지하는 제1 분석 단계; 상기 제1 분석 단계에서 이상징후로 판단되지 않은 서비스업체측 사용자의 행위 파라미터 값 및 로그 데이터 이상징후 분석 모델에 입력하여, 상기 이상징후 분석 모델의 연산을 통해, 이상징후 여부를 탐지하는 제2 분석 단계; 그리고 상기 제1 분석 단계의 탐지 결과 및 상기 제2 분석 단계의 탐지 결과를 조합하여, 이상징후 여부를 판단하는 단계를 포함한다.

Description

개인정보의 오남용에 대한 이상징후를 모니터링하는 방법 및 장치{METHOD FOR MONITORING ANOMALY ABOUT ABUSE OF PRIVATE INFORMATION AND DEVICE FOR MONITORING ANOMALY ABOUT ABUSE OF PRIVATE INFORMATION}
본 발명은 개인정보의 오남용에 대한 이상징후를 모니터링하는 방법 및 장치에 관한 것으로, 더욱 상세하게는 서비스업체측 사용자의 행위 파라미터 값 및 로그 데이터를 통해 이상징후 여부를 판단하는 방법 및 장치에 관한 것이다.
개인과 기업이 수집,활용할 수 있는 개인정보 범위를 확대해 빅데이터 산업을 활성화하는 내용의 '데이터 3법'(개인정보보호법,신용정보법,정보통신망법)이 개정되면서 데이터 활용 관련 규제가 일부 완화되었다.
개정된 개인정보보호법은 특정 개인을 식별할 수 없도록 처리한 가명 정보를 본인의 동의 없이 통계 작성, 연구 등 목적으로 활용할 수 있도록 하는 내용을 포함하고 있으며, 개인정보의 오남용,유출을 감독할 기구를 개인정보보호위원회로 일원화하는 내용도 담고 있다.
또한, 개정된 신용정보법은 상업적 통계 작성, 연구, 공익적 기록 보존 등을 위해 가명 정보를 신용정보 주체의 동의 없이 이용하거나 제공할 수 있도록 하는 내용을 포함하고 있다.
그러나, 개정된 '데이터 3법'은 민감한 개인정보의 유출이나 개인정보에 대한 오남용이 우려되어 이에 대한 제도적 안전장치 마련과 제재가 필요하다는 주장이 제기된다.
한국공개특허공보 2013-0095548호(2013.08.28.)
본 발명의 목적은 개인정보의 오남용을 탐지할 수 있는 개인정보 오남용 모니터링 방법 및 그를 위한 장치를 제공하는 데 있다.
본 발명의 다른 목적들은 다음의 상세한 설명과 첨부한 도면으로부터 보다 명확해질 것이다.
본 발명의 일 실시예에 의하면, 개인정보 오남용의 이상징후를 모니터링하는 방법은, 서비스업체측 사용자의 행위 파라미터 값 및 로그 데이터를 실시간으로 수집하는 단계; 상기 수집된 서비스업체측 사용자의 행위 파라미터 값 및 로그 데이터를 해당 서비스업체측 사용자의 이상징후 분석 규칙과 비교하여, 이상징후 여부를 탐지하는 제1 분석 단계; 상기 제1 분석 단계에서 이상징후로 판단되지 않은 서비스업체측 사용자의 행위 파라미터 값 및 로그 데이터 이상징후 분석 모델에 입력하여, 상기 이상징후 분석 모델의 연산을 통해, 이상징후 여부를 탐지하는 제2 분석 단계; 그리고 상기 제1 분석 단계의 탐지 결과 및 상기 제2 분석 단계의 탐지 결과를 조합하여, 이상징후 여부를 판단하는 단계를 포함한다.
상기 제1 분석 단계는, 상기 실시간으로 수집한 행위 파라미터 값 및 로그 데이터를 기반으로 해당 서비스업체측 사용자에 대한 프로파일 정보를 생성하고, 상기 프로파일 정보의 특성을 추출하며, 상기 추출된 프로파일 특성을 상기 이상징후 분석 규칙과 비교하여 이상징후를 탐지할 수 있다.
상기 서비스업체측 사용자의 행위 파라미터값 및 로그 데이터 중 정상행위로 판단된 행위 파라미터 값 및 로그 데이터를 학습 데이터로 추출하고, 상기 학습 데이터를 기반으로 상기 이상징후 분석 모델에 대한 기계학습을 수행하는 단계를 더 포함할 수 있다.
상기 이상징후 분석 모델은, Autoencoder 또는 GAN(Generative Adversarial Network) 모델을 이용한 분석 모델일 수 있다.
본 발명의 일 실시예에 의하면, 이상징후 모니터링 장치는, 이상 징후 식별에 필요한 서비스업체측 사용자 별로 발생한 행위 파라미터 값 및 로그 데이터를 실시간으로 수집하는 정보 수집부; 그리고 상기 수집된 서비스업체측 사용자의 행위 파라미터 값 및 로그 데이터의 패턴을, 기 생성된 이상징후 분석 규칙과 비교하여 이상징후 여부를 1차 탐지하고 이상징후 분석 모델을 통해 연산하여 이상징후 여부를 2차 탐지하는 이상징후 분석부를 포함하며, 상기 이상징후 분석부는, 상기 1차 탐지 및 2차 탐지 판단 결과를 조합하여 최종 이상징후 여부를 판단한다.
도 1은 앞서 설명한 '데이터 3법'에 따라 개인정보가 제공되는 방식을 개략적으로 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 개인정보의 오남용에 대한 이상징후를 모니터링하는 장치의 전체적인 구성을 개략적으로 나타내는 도면이다
도 3은 도 2에 도시한 이상징후 모니터링 장치를 개략적으로 나타내는 블록도이다.
도 4는 도 3에 도시한 정보 수집부를 개략적으로 나타내는 블록도이다.
도 5는 도 3에 도시한 이상징후 분석부를 개략적으로 나타내는 블록도이다.
도 6은 본 발명의 실시예에 따른 이상징후 모니터링 장치 내 데이터베이스부의 개략적인 구성을 설명하기 위한 블록도이다.
도 7은 본 발명의 일 실시예에 따른 이상징후 분석 모델의 형성 과정을 나타낸 흐름도이다.
이하, 본 발명의 바람직한 실시예들을 첨부된 도 1 내지 도 7을 참고하여 더욱 상세히 설명한다. 본 발명의 실시예들은 여러 가지 형태로 변형될 수 있으며, 본 발명의 범위가 아래에서 설명하는 실시예들에 한정되는 것으로 해석되어서는 안 된다. 본 실시예들은 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 상세하게 설명하기 위해서 제공되는 것이다. 따라서 도면에 나타난 각 요소의 형상은 보다 분명한 설명을 강조하기 위하여 과장될 수 있다.
몇몇 경우, 본 발명의 개념이 모호해지는 것을 피하기 위하여 공지의 구조 및 장치는 생략되거나, 각 구조 및 장치의 핵심기능을 중심으로 한 블록도 형식으로 도시될 수 있다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함(comprising 또는 including)"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "부", "기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. 또한, "일(a 또는 an)", "하나(one)", "그(the)" 및 유사어는 본 발명을 기술하는 문맥에 있어서(특히, 이하의 청구항의 문맥에서) 본 명세서에 달리 지시되거나 문맥에 의해 분명하게 반박되지 않는 한, 단수 및 복수 모두를 포함하는 의미로 사용될 수 있다.
또한, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하기 위해 사용하는 것으로, 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용될 뿐, 상기 구성요소들을 한정하기 위해 사용되지 않는다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제2 구성요소는 제1 구성요소로 명명될 수 있고, 유사하게 제1 구성요소도 제2 구성요소로 명명될 수 있다.
이하의 설명에서 사용되는 특정 용어들은 본 발명의 이해를 돕기 위해서 제공된 것이며, 이러한 특정 용어의 사용은 본 발명의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.
본 발명은 통신망을 이용한 다양한 서비스 환경에서, 서비스업체측 사용자의 행위(룰 기반 상시 점검항목 기준), 로그 데이터(접근 회수나 접근 업무, 접근시각/시간), 패턴(시나리오, 비정상적인 행동, 통계패턴 시간적 순서 등을 근거로 만든 일련의 패턴)을 분석하여 개인정보의 오남용에 대한 이상징후를 모니터링 및 사전에 자동으로 탐지하는 방법을 제공하기 위한 것이다.
도 1은 앞서 설명한 '데이터 3법'에 따라 개인정보가 제공되는 방식을 개략적으로 나타내는 도면이다. 개인데이터 보유회사는 금융기관이나 통신사, 공공기관 등이 될 수 있으며, 보유한 개인정보는 데이터 전문기관에 제공되거나 후술하는 신용정보회사 또는 마이데이터 사업자에게 직접 제공될 수 있다.
데이터 전문기관은 비영리법인 또는 기타 허가법인이 될 수 있으며, 개인데이터 보유회사로부터 제공받은 개인정보를 결합하거나 결합데이터를 신용정보회사/마이데이터 사업자/가명정보 활용업체에 제공한다. 이때, 가명정보 활용업체에 제공되는 개인정보는 개인을 식별할 수 없는 가명정보 형태로 제공된다.
서비스 업체는 개인데이터 보유회사 또는 데이터 전문기관으로부터 제공받은 개인정보를 통해 개인 또는 기업에게 서비스를 제공하며, 그 형태 및 기능에 따라 신용정보회사/마이데이터사업자/가명정보 활용업체로 구분할 수 있다. 도 1에 도시한 제3자(서비스업체)는 마이데이터 사업자로 편의상 분류될 수 있다.
신용정보회사는 개인/개인사업자의 신용상태를 평가하거나 기업신용정보를 통합,분석,가공하여 제공하고 기업의 신용상태 및 기술에 관한 가치를 평가한다. 마이데이터 사업자는 본인의 신용정보를 일정한 방식으로 통합하여 본인에게 제공하며, 데이터 분석 및 컨설팅, 개인정보 자기결정권 대리 행사, 일정한 투자역임업 및 투자자문업 등이 부수,겸영업무로 허용된다. 가명정보 활용업체는 가명정보를 활용하여 통계작성이나 연구, 공익적 기록보존 목적 등에 활용할 수 있다.
위와 같이, 각 서비스 업체는 '데이터 3법'에 따라 부여된 역할과 권한을 가질 뿐만 아니라 그에 따른 한계를 가진다. 따라서, 그 한계를 초월할 경우 이는 개인정보에 대한 오남용 또는 유출이 지극히 우려되는 상황이므로, 이에 대한 모니터링을 통한 관리,감독이 반드시 필요하다.
도 2는 본 발명의 일 실시예에 따른 개인정보의 오남용에 대한 이상징후를 모니터링하는 장치를 개략적으로 나타내는 도면이다. 도 1에 도시한 바와 같이, 본 발명의 일 실시예에 따른 모니터링 장치(120)는 통신망(150)을 통해 연결된 하나 이상의 데이터 서버(100)와 하나 이상의 클라이언트(110)를 포함할 수 있다.
클라이언트(110)는 통신망에 접속하여 데이터를 송수신하는 장치를 의미하며, 다양한 형태로 구현될 수 있다. 또한, 유/무선을 구분하지 않고 통신망(150)에 접속하여 일정한 기능을 수행하는 장치일 수 있다.
클라이언트(110)는 통신망(150)을 경유하여 다른 장치나 데이터 서버(100) 및 모니터링 장치(120)와 연결된다. 클라이언트(110)는 앞서 설명한 각 서비스 업체 중 하나를 의미하며, 데이터 서버(100)로부터 수집한 개인정보를 통해 각각의 역할과 권한에 따른 서비스를 제공한다.
여기서 통신망(150)은 컴퓨터 시스템들 및/또는 모듈들 간의 전자 데이터를 전송할 수 있게 하는 하나 이상의 데이터 링크로서 정의된다. 예컨대, WLAN(Wireless LAN), 와이파이(Wi-Fi), 와이브로(Wibro), 와이맥스(Wimax), HSDPA(High Speed Downlink Packet Access) 등의 무선 통신 방식 또는 이더넷(Ethernet), xDSL(ADSL, VDSL), HFC(Hybrid Fiber Coaxial Cable), FTTC(Fiber to The Curb), FTTH(Fiber To The Home) 등의 유선 통신 방식을 이용할 수 있다. 또한, 상술한 통신 방식 이외에도 기타 널리 공지되었거나 향후 개발될 모든 형태의 통신 방식을 포함할 수 있다.
정보가 네트워크 또는 다른 (유선, 무선, 또는 유선 또는 무선의 조합인) 통신 접속을 통하여 컴퓨터 시스템에 전송되거나 제공될 때, 이 접속은 컴퓨터-판독가능매체로서 이해될 수 있다. 컴퓨터 판독가능 명령어는, 예를 들면, 범용 컴퓨터 시스템 또는 특수 목적 컴퓨터 시스템이 특정 기능 또는 기능의 그룹을 수행하도록 하는 명령어 및 데이터를 포함한다. 컴퓨터 실행가능 명령어는, 예를 들면, 어셈블리어, 또는 심지어는 소스코드와 같은 이진, 중간 포맷 명령어일 수 있다.
데이터 서버(100) 역시 통신망(150)을 경유하여 다른 서버나 클라이언트 서버(110), 모니터링 장치(120)와 연결된다. 데이터 서버(100)는 클라이언트(110)를 통해 서비스업체측 사용자가 이용하는 데이터를 제공하는 주체이다. 예를 들어, 본 발명의 데이터 서버(110)는 금융기관, 통신사, 공공기관의 서버가 될 수 있다.
도 3은 도 2에 도시한 이상징후 모니터링 장치를 개략적으로 나타내는 블록도이다. 도 3에 도시한 바와 같이, 이상징후 모니터링 장치(120)는 정보 수집부(210), 이상징후 분석부(220), 데이터베이스부(230), 모니터링부(240) 및 규칙 관리부(250)를 포함한다.
정보 수집부(210)는 이상징후 모니터링에 필요한 파라미터 값을 추출 및 수집한다. 도 4는 도 3에 도시한 정보 수집부를 개략적으로 나타내는 블록도이다.
정보 수집부(210)는 클라이언트 정보수집부(330) 및 데이터 서버 정보수집부(310)를 포함한다. 클라이언트 정보수집부(330)는 통신망(150)을 경유하여 하나 이상의 클라이언트(110)와 연결되며, 데이터 서버 정보수집부(310)는 통신망(150)을 경유하여 하나 이상의 데이터 서버(100)와 연결된다.
정보 수집부(210)는 정보 수집 대상으로부터 정보를 수집하기 위한 에이전트(Agent)를 구비할 수 있다. 에이전트는 정보 수집을 위하여 관리자를 대신하여 작업을 수행하는 자율적 프로세스로, 독자적으로 존재하지 않고 정보 수집부의 일부로 존재하는 시스템이다. 정보 수집용 에이전트는 클라이언트(110)의 종류와 이에 설치된 브라우저의 종류에 따라 다르게 구성될 수 있다. 에이전트는 관리자의 개입이 없어도 정해진 스케줄에 따라 통신망(150)을 통하여 정보를 수집하며, 미리 제공된 행위 파라미터의 종류에 관한 정보를 이용하여 전체 또는 일부 통신망(150)을 검색하여 관심이 있는 정보를 모으고, 그것을 매일 또는 일정 시간대 별로 제공하는 기능을 수행할 수 있다.
정보 수집부(210)는 에이전트를 통하여 서비스업체측 사용자의 클라이언트(110) 사용에 관한 정보 또는 접근 기록/로그나 패턴을 수집할 수 있다. 속성을 추출하거나 패턴화 시킬 수 있는 각각의 항목을 파라미터(parameter)라 지칭하며, 추출된 결과를 파라미터 값이라 지칭한다.
특히, 본 발명에서 수집하는 파라미터 값은 디바이스 핑거프린팅(Device Fingerprinting) 속성, 입력기기 이용 행위, 웹 네비게이션(Web Navigation) 중 하나 이상에 관련된 행위 파라미터 값을 포함할 수 있다.
분류된 각 파라미터 값은 정보 수집부 내에 구비된 저장장치에 저장되거나 별도의 데이터베이스부(230)에 저장될 수도 있다.
이상징후 분석부(220)는 수집된 파라미터 값을 이용한 이상징후 분석 탐지를 수행한다. 도 5는 도 3에 도시한 이상징후 분석부를 개략적으로 나타내는 블록도이다.
도 5에 도시한 바와 같이, 이상징후 분석부(220)는 서비스업체측 사용자 식별부(410), 실시간 처리용 분산 저장 데이터베이스(420), 특징 추출부(430), 제1 내지 제3 이상징후 분석부(440,450,460)를 포함하여 이루어질 수 있다.
서비스업체측 사용자 식별부(410)는 수집된 파라미터 값이 어떤 서비스업체측 사용자의 파라미터 값인지 판별하는 기능을 수행한다. 서비스업체측 사용자 식별부(410)에 의해 각각의 서비스업체측 사용자가 구분되며, 서비스업체측 사용자별로 파라미터 값을 구분하기 위하여 클라이언트(110)에 관한 정보(회사명, 직원번호 등) 또는 로그인 ID, 그밖에 IP, MAC 주소 등을 이용하여 각 서비스업체측 사용자 별로 프로파일링을 실시할 수 있다. 이러한 프로파일링시 수집한 직원번호, ID 정보 등을 기반으로 정상 서비스업체측 사용자 여부를 판단할 수 있다.
실시간 처리용 분산 저장 데이터베이스(420)는 본 발명의 실시에 따른 실시간 정보를 처리하기 위한 데이터베이스이다. 실시간 처리를 위해 별도로 구성된 데이터베이스부(230)가 아닌 이상징후 분석부(220) 내에 구성되어 있으며, 실시간 처리용 분산 저장 데이터베이스(420) 내에 서비스업체측 사용자 별 프로파일/로그 정보를 생성하고 저장하는 기능을 수행한다.
특징 추출부(430)는 각 서비스업체측 사용자 별 프로파일 정보를 이용하여 실시간으로 특징 추출 결과를 이용한 특징 벡터를 생성하기 위한 구성이다. 특징 벡터의 차원과 항목은 수집된 행위 파라미터 값에 의해 결정되며, 항목이 많을수록 차원이 높아지며 성능이 높아질 수 있다.
제1 이상징후 분석부(440)는 행위 파라미터 값을 해당 서비스업체측 사용자의 이상징후 분석 규칙과 비교하여, 이상징후 여부를 분석하기 위한 구성이다. 이상징후 규칙은 각 서비스 업체의 역할과 권한, 서비스 성격, 업무에 따라 서비스업체측 사용자 별로 생성될 수 있다.
또한, 제1 이상징후 분석부(440)는 프로파일 정보를 기반으로 이상징후를 분석하고 탐지할 수 있다. 이는 특징 추출부(430)에서 추출한 특징 벡터를 이용하여 수행할 수 있으며, 추출한 특징 벡터 또는 프로파일 특성을 이상징후 분석 규칙과 비교하여 이상징후 여부를 탐지한다.
아울러, 제1 이상징후 분석부(440)에는 정상행위에 대응하는 화이트리스트(White List)와 이상징후에 대응하는 블랙리스트(Black List)가 기 설정 또는 저장되어 있을 수 있다. 제1 이상징후 분석부(440)는 기 설정된 화이트리스트와 블랙리스트를 행위 파라미터 값과 비교하여 이상징후 여부를 탐지한다.
제2 이상징후 분석부(450)는 로그 데이터의 패턴을 통해, 서비스업체측 사용자의 접근 회수나 접근 업무, 접근 시각/시간 등을 이상징후 분석 규칙과 비교하여, 이상징후 여부를 분석하기 위한 구성이다. 이상징후 규칙은 각 서비스 업체에 대한 역할과 권한에 따라 서비스업체측 사용자 별로 생성될 수 있다.
여기까지를 제1 분석 단계라 지칭한다.
제3 이상징후 분석부(460)는 학습데이터를 기반으로 룰 기반 행동 상시 점검 항목 기준과 변수들의 상호 작용을 고려한 행위 기반, 시스템의 로그에 수집된 자료 기준(접근 횟수, 접근 업무, 접근 시간/시각 등) 시나리오, 비정상적인 행동, 통계 패턴, 시간적 순서 등을 근거로 다양한 새로운 행위 패턴 기반의 이상징후 분석 모델을 생성하고 이상징후를 분석한다. 이를 제2 탐지 단계라 지칭한다. 제3 이상징후 분석부(460)에는 이상징후 분석 모델이 기 저장되어 있을 수 있다. 또한, 제3 이상징후 분석부(460)는 특징 추출부(430)에서 생성된 특징 벡터에 관한 정보(행위 파라미터 값/로그 데이터)를 수신하여 이를 기반으로 학습데이터를 추출하고, 기계학습을 수행한다. 기계학습의 수행을 통해 이상징후 분석 모델이 수정될 수 있다. 이상징후 분석 모델은 Autoencoder/GAN(Generative Adversarial Network) 모델을 이용해 생성된 분석 모델일 수 있다.
기계학습(machine learning)은 컴퓨터가 데이터를 학습하고 스스로 패턴을 찾아내 적절한 작업을 수행하도록 학습하는 알고리즘이며, 지도학습(Supervised learning), 비지도학습(Unsupervised learning), 강화학습(Reinforcement learning)등으로 분류될 수 있다. 이중 지도학습은 정답이 주어진 상태에서 학습하는 알고리즘을 의미하며, 지도학습의 목적은 분류(classification)와 회귀생성(regression)입니다. 반면에, 비지도학습은 정답이 주어지지 않은 상태에서 학습하는 알고리즘이며 최근 집중적으로 연구되고 있는 분야이며, 오랜 시간 동안 연구되어온 가장 대표적인 비지도학습에는 군집화(clustering)가 있다. 비지도학습은 정답이 주어져 있지 않은 데이터의 특성을 학습하여 스스로 패턴을 파악하는 것을 의미하며, 지도학습과 비지도학습의 궁극적인 목표 중 하나는 데이터를 기반으로 미래를 예측하는 것이다. 그리고 Autoencoder/GAN(generative adversarial network)이 이와 같은 비지도학습의 가장 대표적인 선두주자이며, 비지도학습 GAN은 원 데이터가 가지고 있는 확률분포를 추정하도록 하고, 인공신경망이 그 분포를 만들어 낼 수 있도록 한다는 점에서 단순한 군집화 기반의 비지도학습과 차이가 있다.
제3 이상징후 분석부(460)는 기계학습을 이용하여 생성된 이상징후 분석 모델과 현재 정보 수집부(210)를 통해 수집되고 있는 행위 파라미터 값/로그 데이터 패턴을 상호 비교하여, 상기 행위 파라미터 값/로그데이터 패턴이 생성된 이상징후 분석 모델의 경계면 안에 포함되는지, 경계면 밖에 존재하는지를 판단하여 이상징후 여부를 탐지한다.
이상징후 분석부(220)는 제1 및 제2 탐지 단계의 결과를 조합하여 이상징후 여부를 최종판단할 수 있다.
도 6은 본 발명의 실시예에 따른 이상징후 모니터링 장치 내 데이터베이스부(230)의 개략적인 구성을 설명하기 위한 블록도이다. 데이터베이스부(230)는 이를 관리하는 데이터베이스 관리 시스템(DBMS, DataBase Management System)을 포함한다. DBMS는 데이터베이스부(230)를 관리하며 본 발명인 이상징후 모니터링 장치와 관련된 응용 프로그램들이 데이터베이스부(230)를 공유 및 사용할 수 있는 환경을 제공한다. DBMS에 의해 데이터베이스 구축 틀이 형성되며 응용 프로그램이 데이터베이스부(230)에 접근할 수 있는 인터페이스, 데이터베이스부(230)의 장애에 따른 복구, 보안 유지 기능 등을 제공한다.
도 6에 도시한 바와 같이, 데이터베이스부(230)는 대용량 로그 저장 데이터베이스(510), 이상징후 프로파일 데이터베이스(520), 특성추출벡터 데이터베이스(530), 이상징후 분석 규칙 데이터베이스(540)를 포함할 수 있다.
대용량 로그 저장 데이터베이스(510)는 실시간 처리용 분산 저장 데이터베이스(420)로부터 각 서비스업체측 사용자 별 로그 데이터를 수신하여 저장하기 위한 구성이다. 로그 데이터에는 로그인 및 로그아웃 기록, 접속 시 연결된 파일의 수(히트, Hits), 서비스업체측 사용자의 업무용 브라우저가 업무용 문서를 다운받은 횟수(페이지뷰, PageView), 방문자가 사이트에 접속하여 다른 사이트로 떠날 때까지의 상태(세션, Session), 개인정보를 활용한 업무내역, 업무시간/시각, 특정 사이트에 머무른 시간(Duration Time)이 포함될 수 있다.
이상 징후 프로파일 데이터베이스(520)는 실시간 처리용 분산 저장 데이터베이스(420)로부터 프로파일 정보를 수신하여 저장하기 위한 구성이다.
특성 추출 벡터 데이터베이스(530)는 특성 추출부(430)가 추출해낸 특성 벡터를 수신하여 저장하기 위한 구성이다.
이상징후 분석 규칙 데이터베이스(540)는 기 설정된 블랙리스트와 화이트리스트를 저장하거나, 그 외 기 설정된 이상징후 분석 규칙을 저장하기 위한 구성이다. 이상징후 분석 규칙 데이터베이스(540)는 제1 내지 제3 이상징후 분석부(440,450,460), 규칙 관리부(250)와 연결되어 추가된 학습 데이터를 수신하고 변경된 이상징후 분석 규칙을 저장할 수 있다.
데이터베이스부(230)는 하나의 서버 혹은 저장장치로 구성되거나, 다수의 서버 혹은 저장장치에 나뉘어 구성될 수 있다. 저장장치는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CDROM(Compact Disk Read Only Memory), DVD(Digital Video Disk)와 같은 광 기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광 매체(Magneto-Optical Media) 및 롬(ROM), 램(RAM, Random Access Memory), 플래시 메모리를 포함한다.
모니터링부(240)는 이상징후 분석부(220)의 탐지 결과를 출력하며, 이상징후 탐지 시 이를 관리자에게 통지한다. 모니터링부(240)는 관리를 위한 별도의 서버나 시스템을 구비할 수 있으며, 대시보드를 포함할 수 있다. 대시보드는 한 화면에서 다양한 정보를 중앙 집중적으로 관리하고 찾을 수 있는 인터페이스 기능을 포함한다.
규칙 관리부(250)는 이상징후 분석 탐지부(220)의 탐지 결과를 기반으로, 기 수집된 행위 파라미터 값들 중 정상행위로 판단된 행위 파라미터 값을 정상행위 학습 데이터로 추출하고, 추출된 정상행위 학습 데이터를 기반으로 서비스업체측 사용자 별로 상기 이상징후 분석 규칙을 추가 및 삭제하기 위한 구성이다.
또한 규칙 관리부(250)를 통해 새로운 기기 및 업무의 접근 형태에 의한 이상징후들에 관하여, 규칙의 추가 또는 삭제가 이루어질 수 있다.
이러한 규칙의 추가 또는 삭제는 관리자의 판단 하에 이루어질 수도 있으나, 규칙 관리부(250)에서 이상징후 분석 규칙과의 비교를 통해 정상행위 또는 이상징후로 판단된 행위 파라미터 값을 기반으로 해당 서비스업체측 사용자의 이상징후 분석 규칙을 추가 또는 삭제할 수 있다. 예를 들어, 일정 횟수 이상 이상징후로 판단된 행위 파라미터 값의 조합은 이후부터 이상징후로 판단하도록 하는 이상징후 분석 규칙을 추가 및 적용하도록 규칙 관리부(250)에서 데이터베이스부(230) 또는 이상징후 분석부(220)를 제어할 수 있다.
도 7은 본 발명의 실시예에 따른 이상징후 분석 모델의 형성 과정을 나타낸 흐름도이다. 제3 이상징후 분석부(460)는 서비스업체측 사용자의 행위 파라미터 값/로그 데이터 중 정상행위로 판단된 행위 파라미터 값/로그 데이터를 학습 데이터로 추출한다(S602). 제3 이상징후 분석부(460)는 학습 데이터를 기반으로 기계학습을 수행한다(S604). 기계학습의 방식으로는 Autoencoder/GAN(Generative Adversarial Network) 모델을 이용할 수 있다. 기계학습의 수행을 통해 이상징후 분석 모델이 생성된다(S606).
도 8은 본 발명의 일 실시예에 따른 이상징후 탐지 방법의 과정을 설명하기 위한 흐름도이다. 도 8을 참조하면, 먼저 정보 수집부(210)에서 서비스업체측 사용자의 행위 파라미터 값 및 로그 데이터를 수집한다(S700). 제1 및 제2 이상징후 분석부(440,450)는 행위 파라미터 값 및 로그 데이터 패턴을 이상징후 분석 규칙 데이터베이스(540) 내에 저장된, 이상징후로 기 설정된 이상징후 분석 규칙과 비교(S702)하여 대응되는 부분이 존재하는지 판단하며(S704), 이상징후 분석 규칙에 이상징후로 지정된 부분이 있는 경우 이상징후로 판단할 수 있다(S710a). 이상징후 분석 규칙에는 블랙리스트 및 화이트리스트가 포함될 수 있다. 또한, 본 실시예와 달리, 서비스업체측 사용자의 행위 파라미터 값 및 로그 데이터 중 어느 하나만을 수집하고, 수집된 내용을 이상징후 분석 규칙과 비교하여 이상징후 여부를 판단할 수 있다.
이상징후로 판단되지 않은 경우에는, 제3 이상징후 분석부(460)에서 행위 파라미터 값/로그 데이터 패턴 중 하나 이상을 이상징후 분석 모델에 입력하여 이상징후 여부를 판단하는 기계학습 기반의 탐지를 수행한다(S706). 도 5에서 설명한 바와 같이, 기계학습, 특히 Autoencoder/GAN을 통해 이상징후 분석 모델이 생성될 수 있다. 제3 이상징후 분석부(460)는 실시간으로 수집된 서비스업체측 사용자의 행위 파라미터 값/로그 데이터 패턴이 이상징후 분석 모델의 경계면 안에 포함되는지, 경계면 밖에 존재하는지를 판단하여 이상징후에 해당하는지 탐지한다(S708).
정상행위로 판단(S710b)되는 경우 이상징후 분석 규칙을 추가 또는 삭제할 수 있으며, 필요에 따라 이상징후 분석 모델을 변경하기 위한 기계 학습을 수행할 수 있다. 이상징후로 탐지된 경우에는 관리자에게 통지할 수 있다(S710a).
여기서 이상징후로 기 설정된 이상징후 분석 규칙은, 서비스업체측 사용자 별로 기 수집된 행위 파라미터/로그 데이터를 이용하여 생성된 것일 수 있다. 또한, 위험도 산출의 결과를 이용하여 분석 규칙의 추가 또는 삭제가 이루어질 수 있다.
한편, 앞선 실시예는 기 설정된 이상징후 분석 규칙을 이용한 탐지 방식과 이상징후 분석 모델을 이용한 탐지 방식이 순차적으로 이루어졌으나, 이와 달리, 양 방식을 통한 탐지 결과를 조합하여 이상징후 여부를 최종 판단하고 이상징후로 판단되면 판단 결과를 관리자에게 통지할 수 있다. 또한, 이상징후 여부의 판단이 확실하지 않은 경우, 또는 판단 결과가 정상행위인 경우, 상관도를 분석하여 위험도를 산출할 수 있다. 상관도 분석에는 피어슨 상관계수를 이용할 수 있다.
본 발명을 바람직한 실시예들을 통하여 상세하게 설명하였으나, 이와 다른 형태의 실시예들도 가능하다. 그러므로, 이하에 기재된 청구항들의 기술적 사상과 범위는 바람직한 실시예들에 한정되지 않는다.

Claims (6)

  1. 서비스업체측 사용자의 행위 파라미터 값 및 로그 데이터를 실시간으로 수집하는 단계;
    상기 수집된 서비스업체측 사용자의 행위 파라미터 값 및 로그 데이터를 해당 서비스업체측 사용자의 이상징후 분석 규칙과 비교하여, 이상징후 여부를 탐지하는 제1 분석 단계;
    상기 제1 분석 단계에서 이상징후로 판단되지 않은 서비스업체측 사용자의 행위 파라미터 값 및 로그 데이터 이상징후 분석 모델에 입력하여, 상기 이상징후 분석 모델의 연산을 통해, 이상징후 여부를 탐지하는 제2 분석 단계; 및
    상기 제1 분석 단계의 탐지 결과 및 상기 제2 분석 단계의 탐지 결과를 조합하여, 이상징후 여부를 판단하는 단계를 포함하는, 이상징후 모니터링 방법.
  2. 제1항에 있어서,
    상기 제1 분석 단계는,
    상기 실시간으로 수집한 행위 파라미터 값 및 로그 데이터를 기반으로 해당 서비스업체측 사용자에 대한 프로파일 정보를 생성하고,
    상기 프로파일 정보의 특성을 추출하며,
    상기 추출된 프로파일 특성을 상기 이상징후 분석 규칙과 비교하여 이상징후를 탐지하는, 이상징후 모니터링 방법.
  3. 제1항에 있어서,
    상기 서비스업체측 사용자의 행위 파라미터값 및 로그 데이터 중 정상행위로 판단된 행위 파라미터 값 및 로그 데이터를 학습 데이터로 추출하고, 상기 학습 데이터를 기반으로 상기 이상징후 분석 모델에 대한 기계학습을 수행하는 단계를 더 포함하는, 이상징후 모니터링 방법.
  4. 제1항에 있어서,
    상기 이상징후 분석 모델은,
    Autoencoder 또는 GAN(Generative Adversarial Network) 모델을 이용한 분석 모델인, 이상징후 모니터링 방법.
  5. 이상 징후 식별에 필요한 서비스업체측 사용자 별로 발생한 행위 파라미터 값 및 로그 데이터를 실시간으로 수집하는 정보 수집부; 및
    상기 수집된 서비스업체측 사용자의 행위 파라미터 값 및 로그 데이터의 패턴을, 기 생성된 이상징후 분석 규칙과 비교하여 이상징후 여부를 1차 탐지하고 이상징후 분석 모델을 통해 연산하여 이상징후 여부를 2차 탐지하는 이상징후 분석부를 포함하며,
    상기 이상징후 분석부는,
    상기 1차 탐지 및 2차 탐지 판단 결과를 조합하여 최종 이상징후 여부를 판단하는 것을 특징으로 하는 이상징후 모니터링 장치.
  6. 제1항에 있어서,
    상기 이상징후 분석 모델은,
    Autoencoder 또는 GAN(Generative Adversarial Network) 모델을 이용한 분석 모델인, 이상징후 모니터링 장치.
KR1020200052399A 2020-04-29 2020-04-29 개인정보의 오남용에 대한 이상징후를 모니터링하는 방법 및 장치 KR102373936B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200052399A KR102373936B1 (ko) 2020-04-29 2020-04-29 개인정보의 오남용에 대한 이상징후를 모니터링하는 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200052399A KR102373936B1 (ko) 2020-04-29 2020-04-29 개인정보의 오남용에 대한 이상징후를 모니터링하는 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20210133598A true KR20210133598A (ko) 2021-11-08
KR102373936B1 KR102373936B1 (ko) 2022-03-15

Family

ID=78485904

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200052399A KR102373936B1 (ko) 2020-04-29 2020-04-29 개인정보의 오남용에 대한 이상징후를 모니터링하는 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102373936B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117596078A (zh) * 2024-01-18 2024-02-23 成都思维世纪科技有限责任公司 一种基于规则引擎实现的模型驱动用户风险行为判别方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110037578A (ko) * 2009-10-07 2011-04-13 (주)비에스시큐리티 통합 보안 모니터링 시스템 및 통합 보안 모니터링 방법
US20130095548A1 (en) 2005-02-23 2013-04-18 Sanjay Jain Activated sialic acid derivatives for protein derivatisation and conjugation
KR101743269B1 (ko) * 2016-01-13 2017-06-05 주식회사 엔젠소프트 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130095548A1 (en) 2005-02-23 2013-04-18 Sanjay Jain Activated sialic acid derivatives for protein derivatisation and conjugation
KR20110037578A (ko) * 2009-10-07 2011-04-13 (주)비에스시큐리티 통합 보안 모니터링 시스템 및 통합 보안 모니터링 방법
KR101743269B1 (ko) * 2016-01-13 2017-06-05 주식회사 엔젠소프트 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Be Geeky, ‘Introduction to Deep Anomaly Detection’, 2020.03.10.* *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117596078A (zh) * 2024-01-18 2024-02-23 成都思维世纪科技有限责任公司 一种基于规则引擎实现的模型驱动用户风险行为判别方法
CN117596078B (zh) * 2024-01-18 2024-04-02 成都思维世纪科技有限责任公司 一种基于规则引擎实现的模型驱动用户风险行为判别方法

Also Published As

Publication number Publication date
KR102373936B1 (ko) 2022-03-15

Similar Documents

Publication Publication Date Title
US10686829B2 (en) Identifying changes in use of user credentials
US20190349391A1 (en) Detection of user behavior deviation from defined user groups
CN108566364B (zh) 一种基于神经网络的入侵检测方法
Liao et al. Using text categorization techniques for intrusion detection
CN112787992A (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
CN114915479B (zh) 一种基于Web日志的Web攻击阶段分析方法及系统
Dou et al. Pc 2 a: predicting collective contextual anomalies via lstm with deep generative model
EP3972315A1 (en) Network device identification
US11861001B2 (en) Threat mitigation system and method
David et al. Zero day attack prediction with parameter setting using bi direction recurrent neural network in cyber security
Zomlot et al. Aiding intrusion analysis using machine learning
US10419449B1 (en) Aggregating network sessions into meta-sessions for ranking and classification
EP3794481A1 (en) Creation and verification of behavioral baselines for the detection of cybersecurity anomalies using machine learning techniques
Lambert II Security analytics: Using deep learning to detect cyber attacks
Wang et al. An unknown protocol syntax analysis method based on convolutional neural network
KR102373936B1 (ko) 개인정보의 오남용에 대한 이상징후를 모니터링하는 방법 및 장치
Samha et al. Intrusion detection system using hybrid convolutional neural network
Singh et al. An anomaly-based intrusion detection system for IoT networks using trust factor
CN115442159B (zh) 一种基于家用路由的风险管控方法、系统和存储介质
CN115085956B (zh) 入侵检测方法、装置、电子设备及存储介质
Alajlan et al. Malicious behavior detection in cloud using self‐optimized dynamic kernel convolutional neural network
CN111917801A (zh) 私有云环境下基于Petri网的用户行为认证方法
Ben Chaabene et al. Detection of users’ abnormal behavior on social networks
Kumari et al. Prediction of Data Breaches using Classification Algorithms
Alosaimi et al. Computer Vision‐Based Intrusion Detection System for Internet of Things

Legal Events

Date Code Title Description
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant