KR20230119309A - 유저별 ai 가변 임계값을 활용한 이상징후 탐지방법. - Google Patents

유저별 ai 가변 임계값을 활용한 이상징후 탐지방법. Download PDF

Info

Publication number
KR20230119309A
KR20230119309A KR1020220015289A KR20220015289A KR20230119309A KR 20230119309 A KR20230119309 A KR 20230119309A KR 1020220015289 A KR1020220015289 A KR 1020220015289A KR 20220015289 A KR20220015289 A KR 20220015289A KR 20230119309 A KR20230119309 A KR 20230119309A
Authority
KR
South Korea
Prior art keywords
threshold
value
data
evaluation
user
Prior art date
Application number
KR1020220015289A
Other languages
English (en)
Other versions
KR102647002B1 (ko
Inventor
김진
서성민
김경화
공인복
Original Assignee
상명대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 상명대학교산학협력단 filed Critical 상명대학교산학협력단
Priority to KR1020220015289A priority Critical patent/KR102647002B1/ko
Publication of KR20230119309A publication Critical patent/KR20230119309A/ko
Application granted granted Critical
Publication of KR102647002B1 publication Critical patent/KR102647002B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B21/00Alarms responsive to a single specified undesired or abnormal condition and not otherwise provided for
    • G08B21/18Status alarms

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Alarm Systems (AREA)

Abstract

보안과 관련하여 이상유무를 판단하는 평가모듈을 구비하는 제1단계; 상기 평가모듈에는 다수의 데이터를 저장하는 스토리지가 구비되고, 외부로부터 다수의 데이터가 입력되도록 입력기기가 연결되어 배치되는 제2단계; 상기 입력기기를 통해 입력되는 학습데이터를 일정기간 누적하여 상기 스트리지에 저장하는 제3단계; 상기 누적된 학습테이터를 상기 평가모듈에서 평가하여 임계값을 결정하는 제4단계; 상기 결정된 임계값를 스토리지에 저장하는 제5단계; 상기 임계값이 결정된 후 평가해야할 평가데이터를 상기 입력기기를 통해 입력하는 제6단계; 상기 입력되는 평가데이터를 평가기간동안 분석하여 판단값을 결정하는 제7단계; 상기 판단값과 상기 임계값과의 관계를 분석하여 이상유무를 발생하는 제8단계;를 통해 상기 평가데이터에 대한 이상징후 여부를 판단하는 것을 특징으로 한다.

Description

유저별 AI 가변 임계값을 활용한 이상징후 탐지방법.{Anomaly detection method for Individual user using AI variable threshold}
본 발명은 딥러닝 또는 머신러닝 학습 알고리즘을 사용하여 학습데이터의 정상 패턴을 학습하고 유저별(개인별) AI 가변 임계치를 사용하여 이상 패턴을 출력하는, AI 가변 임계치를 사용한 이상징후 탐지 시스템에 관한 것이다.
최근, 회사의 보안 구역 Room에 설치된 태그 리더기로 인식된 태그 출입증의 출입 기록과, 사용자 단말(PC, 스마트폰, 태블릿 PC)로부터 유무선 통신망을 통해 접속된 디지털 문서 보안실의 웹 접속 기록은 보안관리 서버의 데이터베이스에 저장되며, 보안구역 Room의 출입 기록과 디지털 문서 보안실의 웹 접속 기록을 모니터링하여 비정상적인 정보 유출을 방지하기 위해 문서 보안이 필요하다.
종래 문서보안 시스템은 클라이언트 단말기가 디지털 정보를 암호화할 때에 문서보안 서버에 의해 기 정의된 키 값에 의해 인증이 수행되며, 인증 수행 후 상기 클라이언트 단말기에 의해 작성된 디지털 정보가 외부 저장장치에 암호화되어 저장되고, 다시 이를 액세스할 때 복호화하여 디지털 정보를 열람하게 된다.
예를 들면, 보안 구역 Room의 RFID 태그 리더기를 구비한 출입증의 13.56MHz RFID 태그를 사용한 출입자와 사용자 단말로부터 유무선 통신망을 통해 접속된 디지털 문서 보안실의 출입자는 예를들면, 보안 관리자(manager)는 10번 출입, 해당 직원들은 관련 업무에 따라 5회, 3회, 2회, 1회 출입하게 된다. 보안 구역 Room의 출입증의 태그를 사용한 출입자와 디지털 문서 보안실의 출입자의 출입 기록을 누적하여 개인별로 일별/주별/월별 통계를 산출하고, 출입 기록과 웹 접속 기록을 분석하여 체계적으로 관리하여 이상징후를 갖는 비정상 데이터를 관리하는 것이 필요하다.
이와 관련된 선행기술1로써, 특허등록번호 10-0750697에서는 "사용자 액세스 기능을 갖는 공유스토리지가 구비된 디지털문서보안 시스템, 및 그 시스템을 이용한 문서 처리방법"이 등록되어 있다.
컴퓨터에 의해 작업되는 디지털 정보가 비정상적으로 유출되는 것을 방지하도록 구성되는, 사용자 액세스 기능을 갖는 공유스토리지가 구비된 디지털 문서보안 시스템은 적어도 하나 이상의 DRM(Digital Rights Management) 클라이언트 단말기중 어느 하나가 공유스토리지와 접속되어 그 공유저장매체에 디지털 정보를 암호화하여 저장하고 사용자 액세스제어기능에 따라 암호화된 디지털 정보를 복호화하여 편집기능을 행하도록 구성되며, 상기 공유스토리지는; 상기 각각의 DRM 클라이언트 단말기가 접속하여 등록 인증을 행할 수 있도록 제공되는 물리적 시리얼 번호와, 상기 디지털 정보가 저장되는 저장부로 이루어진다.
상기 DRM 클라이언트 단말기는; 상기 공유스토리지가 갖는 물리적인 시리얼번호(Serial Number)를 입력하여 인증절차를 수행하며, 인증 절차 수행 후 상기 디지털 정보를 암호화 및 복호화하는 암호화부/복호화부와, 상기 공유스토리지와 연계되어 디지털 정보에 대한 편집 등의 권한 설정기능을 제공하는 애플리케이션 툴로 이루어지는 것을 특징으로 한다.
이와 관련된 선행기술2로써, 특허등록번호 10-2185190에서는 "머신러닝을 이용한 이상징후 탐지 방법 및 시스템"이 등록되어 있다.
도 1은 종래의 머신 러닝을 이용한 이상 징후 탐지 시스템(100)을 예시적인 도면이다.
머신러닝을 이용한 이상 징후 탐지 시스템의 탐지 방법은, 머신 러닝을 이용하여 학습 데이터에 대한 예측치와 실측치 사이의 비용 변화들을 저장하는 단계; 상기 저장된 비용 변화들 중에서 타겟의 비용 변화와 유사한 패턴을 갖는 이웃을 검색하는 단계; 및 상기 검색된 이웃의 비용 변화와 상기 타겟의 비용 변화의 차이를 근거로 하여 상기 타겟의 정상/비정상을 판단하는 단계를 포함한다.
상기 비용 변화들을 저장하는 단계는 테스트 데이터에 상응하는 비용을 기반으로 정상과 비정상을 구분하는 상기 비용의 임계값을 결정하는 단계; 상기 임계값을 기반으로 상기 테스트 데이터의 정상/비정상을 판단하는 단계; 및 상기 테스트 데이터에서 상기 임계값보다 상기 비용이 크면서 정상 상황에 대하여 제 1 시간 동안 비용 변화를 저장하는 단계를 포함하며, 상기 비용은 상기 예측치와 실측치의 차이인 것을 특징으로 한다.
최근, 보안(security)이 요구되는 회사는 임원, 부서로 출입 기록, 비밀 문서 포함된 회사의 문서 보안실의 보안, 및 컴퓨터의 CPU 상태를 모니터링을 하여 정상 패턴을 학습하여 비정상적인 이상 패턴을 추출하여 관리하고 있다.
그러나, 동일부서라도 각직원이 담당하는 업무에 따라 보안과 관련되어 관리가 이루어져야 하나 동일부서에 근무하는 직원들을 일괄로 관리함에 따라 효율적으로 보안관리가 이루어지지 않은 문제가 있다.
특허등록번호 10-0750697 (등록일자 2007년 08월 13일), "사용자 액세스 기능을 갖는 공유스토리지가 구비된 디지털문서보안 시스템, 및 그 시스템을 이용한 문서 처리방법", 주식회사 마크애니 특허등록번호 10-2185190 (등록일자 2020년 11월 25일), "머신러닝을 이용한 이상징후 탐지 방법 및 시스템", 한국전자통신연구원
상기 문제점을 해결하기 위한 본 발명의 목적은 동일그룹에 속해있는 각 개인들에 대해 각기 다른 임계값을 적용하여 관리함으로써 각 개인들의 보안관리를 효과적으로 진행한다.
또한 본 발명은 이상징후를 감지하기 위해 각 개인들이 생성한 학습데이터를 분석할 수 있는 평가모듈을 제안하고 상기 평가모듈을 통해 이상징후의 기준이 되는 임계값을 결정하고, 상기 각 개인들이 생성한 평가데이터를 상기 평가모듈에 적용하여 판단값을 결정한 다음 상기 임계값과 상기 판단값을 비교하여 이상징후를 결정하는 방법을 제안하고자 한다.
또한 본 발명은 상기 평가모듈로 정상분포곡선과 표준편차 및 비정상적인 이상 패턴을 갖는 데이터(상기 정상분포곡선의 5% 이하 또는 95% 이상)를 확인하여 이상진후를 결정하는 방법을 제안하고자 한다.
본 발명의 목적을 달성하기 위해, 보안과 관련하여 이상유무를 판단하는 평가모듈을 구비하는 제1단계; 상기 평가모듈에는 다수의 데이터를 저장하는 스토리지가 구비되고, 외부로부터 다수의 데이터가 입력되도록 입력기기가 연결되어 배치되는 제2단계; 상기 입력기기를 통해 입력되는 학습데이터를 일정기간 누적하여 상기 스트리지에 저장하는 제3단계; 상기 누적된 학습테이터를 상기 평가모듈에서 평가하여 임계값을 결정하는 제4단계; 상기 결정된 임계값를 스토리지에 저장하는 제5단계; 상기 임계값이 결정된 후 평가해야할 평가데이터를 상기 입력기기를 통해 입력하는 제6단계; 상기 입력되는 평가데이터를 평가기간동안 분석하여 판단값을 결정하는 제7단계; 상기 판단값과 상기 임계값과의 관계를 분석하여 이상유무를 발생하는 제8단계;를 통해 상기 평가데이터에 대한 이상징후 여부를 판단하는 것을 특징으로 한다.
또한 본 발명은 상기 학습데이터와 상기 평가데이터는 보안 지역의 태그 출입증을 소지한 출입자의 출입 기록, 디지털 문서 보안실의 웹 접속 기록, 보안문서 복사기록, 서버 접속기록, 보안정보 취급기록 중 하나이상의 데이터로서 상기 데이터는 기간별 수행횟수 인 것을 특징으로 한다.
또한 본 발명은 상기 제3단계에서 일정기간은 1 내지 5주간 인 것을 특징으로 한다.
또한 본 발명은 상기 제7단계의 평가기간은 일간단위 또는 주간단위 인 것을 특징으로 한다.
또한 본 발명은 상기 제4단계의 평가모듈에서 임계값을 결정에는 상기 제3단계에서 누적된 학습데이터를 통해 정규분포곡선을 구한다음 표준편차(σ)를 분석하여 결정하는 것을 특징으로 한다.
또한 본 발명은 상기 표준편차가 +1일때의 수행횟수값를 1차 상위임계값이라 하고, 상기 표준편차 +2일때의 수행횟수값을 2차 상위임계값이라 하고, 상기 표준편차 +3일때의 수행횟수값을 3차 상위임계값이라 하며,
상기 표준편차가 -1일때의 수행횟수값을 1차 하위임계값이라 하고, 상기 표준편차 -2일때의 수행횟수값을 2차 하위임계값이라 하고, 상기 표준편차 -3일때의 수행횟수값을 3차 하위임계값이라 하여, 상기 1차 내지 3차 상위임계값과, 상기 1차 내지 3차 하위임계값을 이상경고를 발생시키는 기준으로 활용하는 것을 특징으로 한다.
또한 본 발명은 상기 제7단계에서 판단값은 상기 평가기간동안의 수행횟수이며, 상기 평가모듈은 상기 제8단계에서 상기 판단값이 상기 1차 상위임계값과 상기 2차 상위임계값 사이에 존재하거나, 상기 1차 하위임계값과 상기 2차 하위임계값 사이에 존재하면 예비이상경고를 발생하고, 상기 판단값이 상기 2차 상위임계값과 상기 3차 상위임계값 사이에 존재하거나, 상기 2차 하위임계값과 상기 3차 하위임계값 사이에 존재하면 중간이상경고를 발생하며, 상기 판단값이 상기 3차 상위임계값을 벗어나거나, 상기 3차 하위임계값에 미치지 못하는 위치에 존재하면 긴급이상경고를 발생시켜 경고관리단말에게 전달하는 것을 특징으로 한다.
또한 본 발명은 상기 평가모듈에 입력되는 상기 학습데이터와 평가데이터는 평가대상이 되는 모든구성원들에 대해 각각 별도로 구분하여 입력됨에 따라 모든 구성원들에 대해 각각 서로 다른 임계값이 정해지고 이를 통해 모든 구성원이 서로 다른 임계값을 통해 각각 이상징후여부가 판단되는 것을 특징으로 한다.
또한 본 발명은 상기 학습데이터는 Bij(여기서 i 는 각 구성원에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m 이고, j 는 p 구성원(유저단말)의 행위로 인해 발생된 학습테이터를 구분하기 위한 인덱스로서 j = 1, 2, 3, ..., q-1, q, q+1, ..., n-1, n 이며, Bpq 는 p 구성원(유저단말)이 q 번째 자신의 행위(유저단말의 작동)로 발생시킨 학습데이터 임)로서, 상기 학습테이터 Bij를 통해 각 구성원에 대한 상위경계치인 1차 상위임계값 Xi1와 2차 상위임계값 Xi2와 3차 상위임계값 Xi3을 구하고, 하위경계치인 1차 하위임계값 Yi1와 2차 하위임계값 Yi2와 3차 하위임계값 Yi3을 구하며(여기서 i 는 각 구성원에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m임), 상기 평가데이터는 Dik(여기서 i 는 각 구성원(유저단말)에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m 이고, k 는 p 구성원의 행위로 인해 발생된 평가데이터를 구분하기 위한 인덱스로서 k = 1, 2, 3, ..., r-1, r, r+1, ..., u-1, u 이며, Dpr 는 p 구성원(유저단말)이 r 번째 자신의 행위(유저단말의 작동)로 발생시킨 평가데이터 임)로서, 상기 평가테이터 Dik를 통해 평가값 Zi으로 구한 후 상기 평가값과 상기 1차 내지 3차 상위임계값 및 상기 1차 내지 3차 하위임계값을 비교하여 이상징후를 결정하는 것을 특징으로 한다.
또한 본 발명은 상기 정규분포곡선에서 상위 5%를 결정하는 경계치를 상위임계값으로 하거나, 상기 정규분포곡선에서 하위 5%를 결정하는 경계치를 하위임계값으로 하거나, 상기 상위임계값과 상기 하위임계값을 동시에 적용하여 이상징후를 판단하는 것을 특징으로 한다.
또한 본 발명은 상기 평가모듈은 상기 제8단계에서 상기 판단값이 상기 상위임계값을 벗어나거나, 상기 하위임계값에 미치지 못하는 위치에 존재하면 이상경고를 발생시켜 경고관리단말에게 전달하는 것을 특징으로 한다.
또한 본 발명은 상기 평가모듈에 입력되는 상기 학습데이터와 평가데이터는 평가대상이 되는 모든구성원들에 대해 각각 별도로 구분하여 입력됨에 따라 모든 구성원들에 대해 각각 서로 다른 임계값이 정해지고 이를 통해 모든 구성원이 서로 다른 임계값을 통해 각각 이상징후여부가 판단되는 것을 특징으로 한다.
또한 본 발명은 상기 학습데이터는 Bij(여기서 i 는 각 구성원에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m 이고, j 는 p 구성원의 행위로 인해 발생된 학습테이터를 구분하기 위한 인덱스로서 j = 1, 2, 3, ..., q-1, q, q+1, ..., n-1, n 이며, Bpq 는 p 구성원이 q 번째 자신의 행위로 발생시킨 학습데이터 임)로서, 상기 학습테이터 Bij를 통해 각 구성원에 상위임계값 Xi와 하위임계값 Yi를 구하며(여기서 i 는 각 구성원에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m임), 상기 평가데이터는 Dik(여기서 i 는 각 구성원(유저단말)에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m 이고, k 는 p 구성원의 행위(유저단말의 작동)로 인해 발생된 평가데이터를 구부하기 위한 인덱스로서 k = 1, 2, 3, ..., r-1, r, r+1, ..., u-1, u 이며, Dpr 는 p 구성원(유저단말)이 r 번째 자신의 행위(유저단말의 작동)로 발생시킨 평가데이터 임)로서, 상기 평가테이터 Dik를 통해 평가값 Zi으로 구한 후 상기 평가값과 상기 상위임계값 및 하위임계값과 비교하여 이상징후를 결정하는 것을 특징으로 한다.
또한 본 발명은 상기 평가테이터 Dik를 통해 구하는 평가값 Zi는 상기 평가테이터 Dik를 정규분포곡선을 구한다음 상기 정규분포곡선의 평균값을 평가값 Zi으로 결정하는 것을 특징으로 한다.
본 발명은 동일그룹에 속해있는 각 개인들에 대해 각기 다른 임계값을 적용하여 관리함으로써 각 개인들의 보안관리를 효과적으로 진행하는 효과가 있다.
또한 본 발명은 이상징후를 감지하기 위해 각 개인들이 생성한 학습데이터를 분석할 수 있는 평가모듈을 제안하고 상기 평가모듈을 통해 이상징후의 기준이 되는 임계값을 결정하고, 상기 각 개인들이 생성한 평가데이터를 상기 평가모듈에 적용하여 판단값을 결정한 다음 상기 임계값과 상기 판단값을 비교하여 이상징후를 효과적으로 진행하는 효과가 있다.
또한 본 발명은 상기 평가모듈로 정상분포곡선과 표준편차 및 비정상적인 이상 패턴을 갖는 데이터(상기 정상분포곡선의 5% 이하 또는 95% 이상)를 확인하여 이상진후를 효과적으로 관리하는 효과가 있다.
도 1은 종래의 머신 러닝을 이용한 이상 징후 탐지 시스템(100)을 예시적인 도면이다.
도 2는 본 발명에 따른 가변 임계값(임계치)를 사용한 이상징후 탐지 시스템 구성도이다.
도 3a는 회사 보안 구역의 개인별 출입 기록과 웹 접속 기록(log 기록)을 보안 서버에 저장하고, 유저별(개인별) 기록의 z-score, 평균(mean), 표준 편차(standard deviation)를 이용하여 정규분포화 한 후 유저별(개인별)로 유동적인 가변 임계값(임계치)를 적용하는 화면이다.
도 3b는 보안 서버가 출입 기록과 웹 접속 기록을 머신 러닝을 사용하여 학습하여 유저별(개인별)로 다른 가변 임계값(상한치, 하한치)를 적용하여 정상 데이터(5~95% 이내 정상)와 이상 징후를 갖는 비정상 데이터(5% 이하, 95% 이상)를 추출하여 관리하는 화면이다.
도 3c는 유저별(개인별) 가변 임계값(DRM 해제 이상)를 적용하는 학습 데이터 쿼리(SPL), 탐지 데이터 쿼리(SPL) 화면이다.
도 3d는 유저별(개인별) 가변 임계값(DRM 해제 이상)가 적용된 학습 데이터 이미지(Splunk Image), 탐지 데이터 이미지(Splunk Image) 화면이다.
도 3e는 UserID에 따라, 일자별 학습데이터 트렌드(추이 그래프), value별 빈도를 나타낸 학습데이터 분포(막대 그래프)를 데이터 시각화하여 표출한 화면이다.
도 3f는 출입 기록/웹 접속 기록에 대하여 학습 알고리즘을 사용하여 유저별(개인별) 일자별 학습 데이터를 사용하여 유저별(개인별) 임계값를 계산하고, 개인별 상한 임계값/하한 임계값를 계산하며 이를 비교하여 개인별 출입 기록/웹 접속 기록의 탐지 데이터를 추출하여 최종결과를 출력하는 화면이다.
도 3g는 개인별 상한 임계값/하한 임계값를 표시하고, UserID에 따라, 일자별 학습데이터 트렌드(추이 그래프), value별 빈도를 나타낸 학습데이터 분포(막대 그래프)를 데이터 시각화 한 화면이다.
이하, 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 발명의 구성 및 동작을 상세하게 설명한다. 본 발명의 설명에 있어서 관련된 공지의 기능 또는 공지의 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 자세한 설명을 생략한다. 또한, 도면 번호는 동일한 구성을 표기할 때에 다른 도면에서 동일한 도면번호를 부여한다.
비정상적인 정보 유출을 방지하기 위해 문서 보안이 요구되는 회사의 보안 구역 Room에 설치된 13.56MHz RFID 태그 리더기로 인식된 출입자의 RFID 태그 출입증의 출입 기록과, 사용자 단말(PC, 스마트폰, 태블릿PC)로부터 유무선 통신망을 통해 서버의 디지털 문서 보안실의 웹 접속 기록은 보안 서버의 데이터베이스에 저장되어 관리된다.
도 2는 본 발명에 따른 AI 가변 임계값을 사용한 이상징후 탐지 시스템 구성도이다.
본 실시예에서는, (실시예1) 회사의 보안 지역 Room에 설치된 RFID 태그 리더(110)로 인식된 출입자의 RFID 태그 출입증(130)의 출입 기록과, 디지털 문서 보안실의 웹 접속 기록(log 기록), 추가적으로, (실시예2) 원격 PC의 CPU 모니터링 기능을 갖는 네트워크 장비를 사용하여 모니터링되는 회사내 임직원 PC의 CPU 모니터링 데이터를 보안 서버(200)의 데이터베이스에 저장된다.
본 발명의 AI 가변 임계값를 사용한 이상징후 탐지 시스템은, 보안 지역의 문서 보안실의 출입 시에, 출입자의 태그 출입증(130)을 태깅한 태그 리더(110)의 출입 기록을 전송하는, 태그 리더(110)와 연결된 PC(120); 보안 구역(100)의 출입문의 태그 리더(110)에 의해 태깅된 태그 출입증(130)을 소지한 출입자의 출입 기록, 보안 서버의 디지털 문서 보안실의 웹 접속 기록(log 기록), 원격 PC의 CPU 상태 모니터링 데이터(cpu_system_pct, cpu_user_pct, tot_cpu_pct)을 개인별로 보안 서버의 데이터베이스에 누적 저장하여 시간대별/일자별/기간별 통계에 의해 개인별 z-score, 평균, 표준편차에 따라 정규분포화 한 후 개인별 AI 가변 임계값(상한치, 하한치)를 결정한다.
필요에 따라 선택적으로, 출입 기록, 웹 접속 기록(log 기록), 원격 PC의 CPU 상태 모니터링 데이터(cpu_system_pct, cpu_user_pct, tot_cpu_pct)을 포함하는 학습 데이터를 딥러닝 또는 머신 러닝 학습 알고리즘을 사용하여 정상 패턴을 학습하고, 실시간으로 해당 탐지 데이터에 대하여 개인별로 다른 AI 가변 임계값(상한치, 하한치)를 적용하여 정상 패턴 데이터(정규 분포의 5~95% 이내 정상)와 비정상적인 이상 패턴을 갖는 비정상적인 이상 패턴 데이터(정규 분포의 5% 이하, 95% 이상)를 분리 추출하여 사용자 단말로 UI 화면에 표시하며, 로그를 포함한 최종결과를 리스트 또는 데이터 시각화하여 출력하는 보안 서버(200); 및 상기 보안 서버(200)에 유무선 통신망을 통해 연결된 사용자 단말(179)을 포함한다.
상기 디지털 문서 보안실은 문서와 파일을 저장하는 파일 서버(230)를 더 포함한다.
상기 시스템은, 보안 지역(100)의 문서 보안실의 출입 시에, 출입자의 태그 출입증(130)을 태깅한 태그 리더(110)의 출입 기록을 전송하고, 상기 태그 리더(110)와 연결된 PC(120)를 더 포함한다.
보안 관리자의 사용자 단말은 보안 서버에 접속되고, 탐지 데이터의 유형, 탐지 대상과 기간을 선택하고, 유저별(개인별)로 다른 AI 가변 임계값이 적용된 출입 기록/웹 접속 기록/원격 PC의 CPU 상태 모니터링 데이터(cpu_system_pct, cpu_user_pct, tot_cpu_pct)를 포함하는 학습 데이터와, 학습 데이터의 정상 패턴(상한치, 하한치)을 표시하고, 실시간으로 탐지되는 탐지 데이터 이미지를 보안 서버(200)에 접속된 사용자 단말로 출력하며, 학습 데이터 시각화, 유저별(개인별)로 다른 AI 가변 임계값(상한치, 하한치)과 이상 패턴이 표시된 탐지 데이터 시각화, 비정상적인 이상 패턴 데이터(5% 이하, 95% 이상)를 추출하여 로그(log)를 포함한 최종 결과와 리스트 또는 이를 데이터 시각화하여 수치 이상을 화면에 출력된다.
회사내 보안 지역의 문서 보관실(100)은 출입문에 RFID 태그 리더(110)가 출입자의 13.56MHz 태그 출입증(130)의 출입 기록이 문서 보관실 PC(120)를 통해 미들웨어로 연결된 보안 서버(200)로 전송된다.
회사는 사장, 임원/부서/직원별 다수의 사용자 단말(170)이 구비된다.
사용자 단말(170)은 PC 이외에 스마트폰 또는 태블릿 PC를 사용할 수 있다.
학습 데이터는 실시예1) 보안 구역의 문서 보안실의 태그 출입증을 소지한 출입자의 출입 기록, 보안 서버의 디지털 문서 보안실의 웹 접속 기록(log 기록)을 포함한다.
또한, 학습 데이터는 실시예2) 네트워트 장비의 가상 머신을 사용한 원격 PC의 CPU 상태 모니터링(cpu_system_pct, cpu_user_pct, tot_cpu_pct) 데이터를 포함한다.
상기 평가모듈은 학습 데이터의 정상 패턴을 학습하고, 누적된 통계 데이터를 기초로 Z-score, 평균, 표준 편차를 계산하고 정규분포화 한 후 유저별(개인별)로 다른 가변 임계값(상한치, 하한치)을 결정하고, 유저별(개인별)로 다른 가변 임계값(상한치, 하한치)에 따라 탐지 데이터의 비정상적인 이상 패턴을 추출하여 탐지 데이터를 제공하며, 이를 데이터 시각화하여 표시되도록 한다.
상기 임계값의 탐지 옵션은 AI 탐지 데이터의 민감도(Sensitivity), 데이터 중복 제거(De-duplication), 누적된 면적(Accumulated Area), 기울기(Slope degree), 타임 윈도우 유닛(Time Window Unit), Outlier/Inlier(이상 징후/정상 징후)가 포함된다.
* 민감도(Sensitivity)란 예측과 실제 값의 차이 정도를 나타내며, 추후 이벤트 탐지의 척도가 됨
* 데이터 중복 제거(De-duplication) : 중복되는 값의 데이터 제외
* 누적된 면적(Accumulated Area) : 데이터의 면적을 이용한 filter 적용 (예: 기준치 미만의 낮은 값의 데이터일때 탐지 하지 않음)
* 기울기(Slope degree) : 데이터의 기울기를 이용한 필터 적용(예: 급감할 때 이벤트 탐지 하지 않음)
* 타임 윈도우 유닛(Time Window Unit) : Window 내 데이터 row 수(예 : 7 unit: 7개의 데이터를 하나의 패턴(input)으로 봄)
* Outlier/Inlier : 이상 징후/정상 징후 중 하나의 이벤트로 탐지 여부
보안 서버(200)는 사용자 단말(170)과 유무선 통신망을 통해 연결되는 WWW 서버(201); 보안 기능을 제어하는 제어부(203); 출입 기록, 디지털 문서 보안실의 웹 접속 기록(log 기록), 원격 PC의 CPU 상태 모니터링(cpu_system_pct, cpu_user_pct, tot_cpu_pct) 데이터, 그 외 필요시 모니터링 데이터를 저장하는 DB(207); 회원정보를 등록받아 저장하여 관리하는 회원관리부(209); ID/Passwd 또는 인증 서버와 연동된 개인 인증서/범용 인증서를 사용하여 사용자를 인증하는 사용자 인증부(211); 기간별로 누적된 학습 데이터의 통계에 기초하여 유저별(개인별)로 다른 AI 가변 임계치(상한치, 하한치)를 설정하는 AI 가변 임계치 설정부(213); 딥러닝 또는 머신러닝 학습 알고리즘을 사용하여 해당 학습 데이터를 학습하여 상한치에서 하한치까지의 정상 범위의 정상 패턴을 학습하는 기계학습부(215); 상기 유저별(개인별)로 다른 AI 가변 임계치(상한치, 하한치)를 기준으로 실시간으로 탐지되는 탐지 데이터의 이상 패턴을 탐지하는 이상 패턴 탐지부(217); 해당 학습 데이터와 탐지 데이터를 학습 데이터와 탐지 데이터 리스트 또는 학습 데이터 시각화/탐지 데이터 시각화하여 출력하는 학습 데이터/탐지 데이터 출력부(219); 유저별(개인별)/부서별/전체 데이터의 Z-score, 평균, 분산, 표준편차의 통계 정보를 제공하는 데이터, 리스트, 또는 비쥬얼하게 데이터 시각화하여 제공하는 통계 처리부(221)를 포함한다.
본 발명에 따른 실시예들은 다양한 컴퓨터 수단을 통해 수행될 수 있는 프로그램 명령 형태로 구현되고 컴퓨터 판독 가능 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 기록 매체는 프로그램 명령, 데이터 파일, 데이터 구조를 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 기록 매체는 스토리지, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 저장 매체에 프로그램 명령을 저장하고 수행하도록 구성된 하드웨어 장치가 포함될 수 있다. 프로그램 명령의 예는 컴파일러에 의해 만들어지는 것과, 기계어 코드뿐만 아니라 인터프리터를 사용하여 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 상기 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로써 작동하도록 구성될 수 있다.
이상에서 설명한 바와 같이, 본 발명의 방법은 프로그램으로 구현되어 컴퓨터의 소프트웨어를 이용하여 읽을 수 있는 형태로 기록매체(CD-ROM, RAM, ROM, 메모리 카드, 하드 디스크, 광자기 디스크, 스토리지 디바이스 등)에 저장될 수 있다.
본 발명의 구체적인 실시예를 참조하여 설명하였지만, 본 발명은 상기와 같이 기술적 사상을 예시하기 위해 구체적인 실시 예와 동일한 구성 및 작용에만 한정되지 않고, 본 발명의 기술적 사상과 범위를 벗어나지 않는 한도 내에서 다양하게 변형하여 실시될 수 있으며, 본 발명의 범위는 후술하는 특허청구범위에 의해 결정되어야 한다.
100: 보안 지역 문서 보관실 110: 태그 리더
120: 문서 보관실 PC 130: 출입자의 태그 출입증
131: 태그 칩 170: 사용자 단말
190: 라우터 200: 보안 서버

Claims (12)

  1. 보안과 관련하여 이상유무를 판단하는 평가모듈을 구비하는 제1단계;
    상기 평가모듈에는 다수의 데이터를 저장하는 스토리지가 구비되고, 외부로부터 다수의 데이터가 입력되도록 입력기기가 연결되어 배치되는 제2단계;
    상기 입력기기를 통해 입력되는 학습데이터를 일정기간 누적하여 상기 스트리지에 저장하는 제3단계;
    상기 누적된 학습테이터를 상기 평가모듈에서 평가하여 임계값을 결정하는 제4단계;
    상기 결정된 임계값를 스토리지에 저장하는 제5단계;
    상기 임계값이 결정된 후 평가해야할 평가데이터를 상기 입력기기를 통해 입력하는 제6단계
    상기 입력되는 평가데이터를 평가기간동안 분석하여 판단값을 결정하는 제7단계;
    상기 판단값과 상기 임계값과의 관계를 분석하여 이상유무를 발생하는 제8단계;를 통해 상기 평가데이터에 대한 이상징후 여부를 판단하는 것을 특징으로 하는 유저별 AI 가변임계값을 활용한 이상징후 탐지방법.
  2. 보안과 관련하여 이상유무를 판단하는 평가모듈을 구비하는 제1단계;
    상기 평가모듈에는 다수의 데이터를 저장하는 스토리지가 구비되고, 외부로부터 다수의 데이터가 입력되도록 입력기기가 연결되어 배치되는 제2단계;
    상기 입력기기를 통해 입력되는 학습데이터를 일정기간 누적하여 상기 스트리지에 저장하는 제3단계;
    상기 누적된 학습테이터를 상기 평가모듈에서 평가하여 임계값을 결정하는 제4단계;
    상기 결정된 임계값를 스토리지에 저장하는 제5단계;
    상기 임계값이 결정된 후 평가해야 할 평가데이터를 상기 입력기기를 통해 입력하는 제6단계
    상기 입력되는 평가데이터를 평가기간동안 분석하여 판단값을 결정하는 제7단계;
    상기 판단값과 상기 임계값과의 관계를 분석하여 이상유무를 발생하는 제8단계;를 통해 상기 평가데이터에 대한 이상징후 여부를 판단하여 상기 평가데이터를 사용하는 해당 유저단말의 이상징후를 판단하는 것을 특징으로 하는 유저별 AI 가변임계값을 활용한 이상징후 탐지방법.
  3. 제1항 또는 제2항에 있어서
    상기 학습데이터와 상기 평가데이터는 보안 지역의 태그 출입증을 소지한 출입자의 출입 기록, 디지털 문서 보안실의 웹 접속 기록, 보안문서 복사기록, 서버 접속기록, 보안정보 취급기록 중 하나이상의 데이터로서 상기 데이터는 기간별 수행횟수 인 것을 특징으로 하는 유저별 AI 가변임계값을 활용한 이상징후 탐지방법.
  4. 제1항 또는 제2항에 있어서
    상기 제3단계에서 일정기간은 1 내지 5주간 인 것을 특징으로 하는 유저별 AI 가변임계값을 활용한 이상징후 탐지방법.
  5. 제1항 또는 제2항에 있어서
    상기 제7단계의 평가기간은 일간단위 또는 주간단위 인 것을 특징으로 하는유저별 AI 가변임계값을 활용한 이상징후 탐지방법.
  6. 제3항에 있어서
    상기 제4단계의 평가모듈에서 임계값을 결정에는 상기 제3단계에서 누적된 학습데이터를 통해 정규분포곡선을 구한다음 표준편차(σ)를 분석하여 결정하는 것을 특징으로 하는 유저별 AI 가변임계값을 활용한 이상징후 탐지방법.
  7. 제6항에 있어서
    상기 표준편차가 +1일때의 수행횟수값를 1차 상위임계값이라 하고, 상기 표준편차 +2일때의 수행횟수값을 2차 상위임계값이라 하고, 상기 표준편차 +3일때의 수행횟수값을 3차 상위임계값이라 하며,
    상기 표준편차가 -1일때의 수행횟수값을 1차 하위임계값이라 하고, 상기 표준편차 -2일때의 수행횟수값을 2차 하위임계값이라 하고, 상기 표준편차 -3일때의 수행횟수값을 3차 하위임계값이라 하여,
    상기 1차 내지 3차 상위임계값과, 상기 1차 내지 3차 하위임계값을 이상경고를 발생시키는 기준으로 활용하는 것을 특징으로 하는 유저별 AI 가변임계값을 활용한 이상징후 탐지방법.
  8. 제7항에 있어서
    상기 제7단계에서 판단값은 상기 평가기간동안의 수행횟수이며
    상기 평가모듈은 상기 제8단계에서
    상기 판단값이 상기 1차 상위임계값과 상기 2차 상위임계값 사이에 존재하거나, 상기 1차 하위임계값과 상기 2차 하위임계값 사이에 존재하면 예비이상경고를 발생하고
    상기 판단값이 상기 2차 상위임계값과 상기 3차 상위임계값 사이에 존재하거나, 상기 2차 하위임계값과 상기 3차 하위임계값 사이에 존재하면 중간이상경고를 발생하며,
    상기 판단값이 상기 3차 상위임계값을 벗어나거나, 상기 3차 하위임계값에 미치지 못하는 위치에 존재하면 긴급이상경고를 발생시켜 경고관리단말에게 전달하는 것을 유저별 AI 가변임계값을 활용한 이상징후 탐지방법.
  9. 제3항 내지 제8항중 어느 한 항에 있어서
    상기 평가모듈에 입력되는 상기 학습데이터와 평가데이터는 평가대상이 되는 모든구성원들에 대해 각각 별도로 구분하여 입력됨에 따라 모든 구성원들에 대해 각각 서로 다른 임계값이 정해지고 이를 통해 모든 구성원이 서로 다른 임계값을 통해 각각 이상징후여부가 판단되는 것을 특징으로 하는 유저별 AI 가변임계값을 활용한 이상징후 탐지방법.
  10. 제9항에 있어서
    상기 학습데이터는 Bij(여기서 i 는 각 구성원에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m 이고, j 는 p 구성원의 행위로 인해 발생된 학습테이터를 구분하기 위한 인덱스로서 j = 1, 2, 3, ..., q-1, q, q+1, ..., n-1, n 이며, Bpq 는 p 구성원이 q 번째 자신의 행위로 발생시킨 학습데이터 임)로서
    상기 학습테이터 Bij를 통해 각 구성원에 대한 상위임계치인 1차 상위임계값 Xi1와 2차 상위임계값 Xi2와 3차 상위임계값 Xi3을 구하고,
    하위임계치인 1차 하위임계값 Yi1와 2차 하위임계값 Yi2와 3차 하위임계값 Yi3을 구하며(여기서 i 는 각 구성원에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m임)
    상기 평가데이터는 Dik(여기서 i 는 각 구성원에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m 이고, k 는 p 구성원의 행위로 인해 발생된 평가데이터를 구부하기 위한 인덱스로서 k = 1, 2, 3, ..., r-1, r, r+1, ..., u-1, u 이며, Dpr 는 p 구성원이 r 번째 자신의 행위로 발생시킨 평가데이터 임)로서
    상기 평가테이터 Dik를 통해 평가값 Zi으로 구한 후 상기 평가값과 상기 1차 내지 3차 상위임계값 및 상기 1차 내지 3차 하위임계값을 비교하여 이상징후를 결정하는 것을 특징으로 하는 유저별 AI 가변임계값을 활용한 이상징후 탐지방법.
  11. 제6항에 있어서
    상기 정규분포곡선에서 상위 5%를 결정하는 경계치를 상위임계값으로 하거나, 상기 정규분포곡선에서 하위 5%를 결정하는 경계치를 하위임계값으로 하거나, 상기 상위임계값과 상기 하위임계값을 동시에 적용하여 이상징후를 판단하는 것을 특징으로 하는 유저별 AI 가변임계값을 활용한 이상징후 탐지방법.
  12. 제11항에 있어서
    상기 평가모듈은 상기 제8단계에서
    상기 판단값이 상기 상위임계값을 벗어나거나, 상기 하위임계값에 미치지 못하는 위치에 존재하면 이상경고를 발생시켜 경고관리단말에게 전달하는 것을 특징으로 하는 유저별 AI 가변임계값을 활용한 이상징후 탐지방법.





KR1020220015289A 2022-02-07 2022-02-07 유저별 ai 가변 임계값을 활용한 이상징후 탐지방법. KR102647002B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220015289A KR102647002B1 (ko) 2022-02-07 2022-02-07 유저별 ai 가변 임계값을 활용한 이상징후 탐지방법.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220015289A KR102647002B1 (ko) 2022-02-07 2022-02-07 유저별 ai 가변 임계값을 활용한 이상징후 탐지방법.

Publications (2)

Publication Number Publication Date
KR20230119309A true KR20230119309A (ko) 2023-08-16
KR102647002B1 KR102647002B1 (ko) 2024-03-12

Family

ID=87848463

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220015289A KR102647002B1 (ko) 2022-02-07 2022-02-07 유저별 ai 가변 임계값을 활용한 이상징후 탐지방법.

Country Status (1)

Country Link
KR (1) KR102647002B1 (ko)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100750697B1 (ko) 2005-11-16 2007-08-22 주식회사 마크애니 사용자 액세스 기능을 갖는 공유스토리지가 구비된 디지털문서보안 시스템, 및 그 시스템을 이용한 문서 처리방법
KR101621019B1 (ko) * 2015-01-28 2016-05-13 한국인터넷진흥원 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법
KR102088378B1 (ko) * 2019-05-21 2020-04-22 주식회사 제이슨 인공지능형 통합 it관제 방법 및 시스템
KR102185190B1 (ko) 2018-12-12 2020-12-01 한국전자통신연구원 머신러닝을 이용한 이상징후 탐지 방법 및 시스템
KR20210115991A (ko) * 2020-03-17 2021-09-27 한국전자통신연구원 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100750697B1 (ko) 2005-11-16 2007-08-22 주식회사 마크애니 사용자 액세스 기능을 갖는 공유스토리지가 구비된 디지털문서보안 시스템, 및 그 시스템을 이용한 문서 처리방법
KR101621019B1 (ko) * 2015-01-28 2016-05-13 한국인터넷진흥원 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법
KR102185190B1 (ko) 2018-12-12 2020-12-01 한국전자통신연구원 머신러닝을 이용한 이상징후 탐지 방법 및 시스템
KR102088378B1 (ko) * 2019-05-21 2020-04-22 주식회사 제이슨 인공지능형 통합 it관제 방법 및 시스템
KR20210115991A (ko) * 2020-03-17 2021-09-27 한국전자통신연구원 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치

Also Published As

Publication number Publication date
KR102647002B1 (ko) 2024-03-12

Similar Documents

Publication Publication Date Title
JP6508353B2 (ja) 情報処理装置
CN111343173B (zh) 数据访问的异常监测方法及装置
US7772972B2 (en) Security monitoring device, security monitoring system and security monitoring method
CN103620581B (zh) 用于执行机器学习的用户界面和工作流
US20180114016A1 (en) Method and apparatus for detecting anomaly based on behavior-analysis
US9142106B2 (en) Tailgating detection
US20220083652A1 (en) Systems and methods for facilitating cybersecurity risk management of computing assets
CN116934285B (zh) 一种实现数字化与实体档案管理的视觉智能系统及设备
WO2022150513A1 (en) Systems, devices, and methods for observing and/or securing data access to a computer network
Al Kinoon et al. Security breaches in the healthcare domain: a spatiotemporal analysis
Accorsi Automated privacy audits to complement the notion of control for identity management
CN116389148B (zh) 一种基于人工智能的网络安全态势预测系统
Priya et al. Privacy preserving data security model for cloud computing technology
US11429714B2 (en) Centralized privacy management system for automatic monitoring and handling of personal data across data system platforms
KR102647002B1 (ko) 유저별 ai 가변 임계값을 활용한 이상징후 탐지방법.
Genga et al. Towards a systematic process-aware behavioral analysis for security
US20200034531A1 (en) Vehicle unauthorized access countermeasure taking apparatus and vehicle unauthorized access countermeasure taking method
Mihailescu et al. Unveiling Threats: Leveraging User Behavior Analysis for Enhanced Cybersecurity
US11575702B2 (en) Systems, devices, and methods for observing and/or securing data access to a computer network
CN113221162A (zh) 一种基于区块链的专病大数据隐私保护方法及系统
KR102661221B1 (ko) 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
KR102644230B1 (ko) 머신러닝 학습알고리즘을 이용한 보안실 보관관리 시스템
KR102680108B1 (ko) Ai 가변 임계값을 사용한 각 구성요소별 이상징후 탐지방법
KR102659067B1 (ko) 딥러닝을 적용한 출입문 출입관리 시스템
KR20230119311A (ko) Ai 가변 임계값을 사용한 각 구성요소별 이상징후 탐지방법

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant