KR20230119312A - 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법 - Google Patents

로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법 Download PDF

Info

Publication number
KR20230119312A
KR20230119312A KR1020220015292A KR20220015292A KR20230119312A KR 20230119312 A KR20230119312 A KR 20230119312A KR 1020220015292 A KR1020220015292 A KR 1020220015292A KR 20220015292 A KR20220015292 A KR 20220015292A KR 20230119312 A KR20230119312 A KR 20230119312A
Authority
KR
South Korea
Prior art keywords
data
value
threshold
log
evaluation
Prior art date
Application number
KR1020220015292A
Other languages
English (en)
Other versions
KR102661221B1 (ko
Inventor
김진
김경화
공인복
김범식
Original Assignee
상명대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 상명대학교산학협력단 filed Critical 상명대학교산학협력단
Priority to KR1020220015292A priority Critical patent/KR102661221B1/ko
Publication of KR20230119312A publication Critical patent/KR20230119312A/ko
Application granted granted Critical
Publication of KR102661221B1 publication Critical patent/KR102661221B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

로그에 따른 이상징후를 평가하기 위해 로그인 진행시 발생하는 텍스트을 활용하여 로그인의 이상유무를 판단하는 평가모듈을 구비하는 제1단계; 상기 평가모듈에는 다수의 데이터를 저장하는 스토리지가 구비되고, 외부로부터 다수의 데이터가 입력되도록 입력기기가 연결되어 배치되는 제2단계; 상기 입력기기를 통해 입력되는 학습데이터를 일정기간 누적하여 상기 스트리지에 저장하는 제3단계; 상기 누적된 다수개의 학습테이터를 상기 평가모듈에서 평가하여 임계값을 결정하는 제4단계; 상기 결정된 임계값를 스토리지에 저장하는 제5단계; 상기 임계값이 결정된 후 평가해야할 평가데이터를 상기 입력기기를 통해 입력하는 제6단계; 상기 입력되는 평가데이터를 평가기간동안 분석하여 판단값을 결정하는 제7단계; 상기 판단값과 상기 임계값과의 관계를 분석하여 이상유무를 발생하는 제8단계;를 통해 상기 평가데이터에 대한 이상징후 여부를 판단하는 것을 특징으* 하는 인공지능 기반 이상징후 탐지방법을 제공한다.

Description

로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법{A method to detect abnormal symptoms occurring during login using text generated during login}
본 발명은 머신러닝 학습 알고리즘을 사용하여 로그인(login) 진행시 발생되는 이상징후 탐지 방법에 관한 것으로, 각종 로그인 진행시 발생하는 텍스트를 아스키코드로 변환한 다음 상기 아스키코드로 변환된 로그수치 데이터를 학습데이터와 평가데이터로 활용하되 상기 학습데이터를 머신러닝 학습 알고리즘에 적용하여 정상 패턴을 학습하고 이를 통해 임계값을 결정한 다음 상기 평가데이터를 상기 머신러닝 학습 알고리즘을 적용하여 분석하여 이상징후를 발생시키는 것에 관한 것이다.
특히 로그인 종류별로 각각의 임계값을 갖도록 가변시켜 로그인 종류별로 이상징후를 발생하도록 하는 AI 가변 임계값을 사용한 각 로그인 종류별 이상징후 탐지방법에 관한 것이다.
최근, 회사의 보안 구역 Room에 설치된 태그 리더기로 인식된 태그 출입증의 출입 기록과, 사용자 단말(PC, 스마트폰, 태블릿 PC)로부터 유무선 통신망을 통해 접속된 디지털 문서 보안실의 웹 접속 기록은 보안관리 서버의 데이터베이스에 저장되며, 보안구역 Room의 출입 기록과 디지털 문서 보안실의 웹 접속 기록을 모니터링하여 비정상적인 정보 유출을 방지하기 위해 문서 보안이 필요하다.
종래 문서보안 시스템은 클라이언트 단말기가 디지털 정보를 암호화할 때에 문서보안 서버에 의해 기 정의된 키 값에 의해 인증이 수행되며, 인증 수행 후 상기 클라이언트 단말기에 의해 작성된 디지털 정보가 외부 저장장치에 암호화되어 저장되고, 다시 이를 액세스할 때 복호화하여 디지털 정보를 열람하게 된다.
예를 들면, 보안 구역 Room의 RFID 태그 리더기를 구비한 출입증의 13.56MHz RFID 태그를 사용한 출입자와 사용자 단말로부터 유무선 통신망을 통해 접속된 디지털 문서 보안실의 출입자는 예를들면, 보안 관리자(manager)는 10번 출입, 해당 직원들은 관련 업무에 따라 5회, 3회, 2회, 1회 출입하게 된다. 보안 구역 Room의 출입증의 태그를 사용한 출입자와 디지털 문서 보안실의 출입자의 출입 기록을 누적하여 개인별로 일별/주별/월별 통계를 산출하고, 출입 기록과 웹 접속 기록을 분석하여 체계적으로 관리하여 이상징후를 갖는 비정상 데이터를 관리하는 것이 필요하다.
이와 관련된 선행기술1로써, 특허등록번호 10-0750697에서는 "사용자 액세스 기능을 갖는 공유스토리지가 구비된 디지털문서보안 시스템, 및 그 시스템을 이용한 문서 처리방법"이 등록되어 있다.
컴퓨터에 의해 작업되는 디지털 정보가 비정상적으로 유출되는 것을 방지하도록 구성되는, 사용자 액세스 기능을 갖는 공유스토리지가 구비된 디지털 문서보안 시스템은 적어도 하나 이상의 DRM 클라이언트 단말기중 어느 하나가 공유스토리지와 접속되어 그 공유저장매체에 디지털 정보를 암호화하여 저장하고 사용자 액세스제어기능에 따라 암호화된 디지털 정보를 복호화하여 편집기능을 행하도록 구성되며, 상기 공유스토리지는; 상기 각각의 DRM 클라이언트 단말기가 접속하여 등록 인증을 행할 수 있도록 제공되는 물리적 시리얼 번호와, 상기 디지털 정보가 저장되는 저장부로 이루어진다.
상기 DRM 클라이언트 단말기는; 상기 공유스토리지가 갖는 물리적인 시리얼번호(Serial Number)를 입력하여 인증절차를 수행하며, 인증 절차 수행 후 상기 디지털 정보를 암호화 및 복호화하는 암호화부/복호화부와, 상기 공유스토리지와 연계되어 디지털 정보에 대한 편집 등의 권한 설정기능을 제공하는 애플리케이션 툴로 이루어지는 것을 특징으로 한다.
이와 관련된 선행기술2로써, 특허등록번호 10-2185190에서는 "머신러닝을 이용한 이상징후 탐지 방법 및 시스템"이 등록되어 있다.
도 1은 종래의 머신 러닝을 이용한 이상 징후 탐지 시스템(100)을 예시적인 도면이다.
머신러닝을 이용한 이상 징후 탐지 시스템의 탐지 방법은, 머신 러닝을 이용하여 학습 데이터에 대한 예측치와 실측치 사이의 비용 변화들을 저장하는 단계; 상기 저장된 비용 변화들 중에서 타겟의 비용 변화와 유사한 패턴을 갖는 이웃을 검색하는 단계; 및 상기 검색된 이웃의 비용 변화와 상기 타겟의 비용 변화의 차이를 근거로 하여 상기 타겟의 정상/비정상을 판단하는 단계를 포함한다.
상기 비용 변화들을 저장하는 단계는 테스트 데이터에 상응하는 비용을 기반으로 정상과 비정상을 구분하는 상기 비용의 임계값을 결정하는 단계; 상기 임계값을 기반으로 상기 테스트 데이터의 정상/비정상을 판단하는 단계; 및 상기 테스트 데이터에서 상기 임계값보다 상기 비용이 크면서 정상 상황에 대하여 제 1 시간 동안 비용 변화를 저장하는 단계를 포함하며, 상기 비용은 상기 예측치와 실측치의 차이인 것을 특징으로 한다.
또한 로그인 종류별(예 : 웹서버(Web Server) 로그인, 침입탐지 시스템(Intrusion Detection System) 로그인, 스플렁크(Splunk) 내부 로그인 등)로 로그인진행시 텍스트 데이터가 발생하나, 로그인 진행시 이상징후를 판단할 수 있는 마땅한 방법이 없는 문제가 있다.
특허등록번호 10-0750697 (등록일자 2007년 08월 13일), "사용자 액세스 기능을 갖는 공유스토리지가 구비된 디지털문서보안 시스템, 및 그 시스템을 이용한 문서 처리방법", 주식회사 마크애니 특허등록번호 10-2185190 (등록일자 2020년 11월 25일), "머신러닝을 이용한 이상징후 탐지 방법 및 시스템", 한국전자통신연구원
상기 문제점을 해결하기 위한 본 발명의 목적은 각종 로그인 종류별(예 : 웹서버(Web Server) 로그인, 침입탐지 시스템(Intrusion Detection System) 로그인, 스플렁크(Splunk) 내부 로그인 등)로 로그인시 생성되는 텍스트 데이터 활용하여 로그인시 이상징후를 분석하여 경고하는 방법을 제안하고자 한다.
또한 본 발명의 목적은 로그인 진행시 발생하는 텍스트를 수치로 변환하여 상기 로그수치 데이터를 분석함으로써 손쉽게 로그인 진행시 이상징후를 경고하는 방법을 제안하고자 한다.
또한 본 발명의 목적은 로그인 종류별로 각기 다른 임계값을 갖도록 하여 해당 로그인 종류별로 각각의 특성에 맞는 임계값을 갖도록 하여 좀더 정확하게 로그인 진행시에 발생되는 이상징후를 경고하는 방법을 제안하고자 한다.
또한 본 발명의 목적은 상기 로그인 진행시 발생하는 이상징후 탐지를 통해 로그인를 진행한 해당유저단말을 작동에 따른 이상징후를 결정하는 방법을 제안하고자 한다.
본 발명의 목적을 달성하기 위해, 로그에 따른 이상징후를 평가하기 위해 로그인 진행시 발생하는 텍스트을 활용하여 로그인의 이상유무를 판단하는 평가모듈을 구비하는 제1단계; 상기 평가모듈에는 다수의 데이터를 저장하는 스토리지가 구비되고, 외부로부터 다수의 데이터가 입력되도록 입력기기가 연결되어 배치되는 제2단계; 상기 입력기기를 통해 입력되는 학습데이터를 일정기간 누적하여 상기 스트리지에 저장하는 제3단계; 상기 누적된 다수개의 학습테이터를 상기 평가모듈에서 평가하여 임계값을 결정하는 제4단계; 상기 결정된 임계값를 스토리지에 저장하는 제5단계; 상기 임계값이 결정된 후 평가해야할 평가데이터를 상기 입력기기를 통해 입력하는 제6단계; 상기 입력되는 평가데이터를 평가기간동안 분석하여 판단값을 결정하는 제7단계을 포함하여 이루어진다.
또한 본 발명은 상기 판단값과 상기 임계값과의 관계를 분석하여 이상유무를 발생하는 제8단계;를 통해 상기 평가데이터에 대한 이상징후 여부를 판단하는 것을 특징으로 한다.
또한 본 발명은 로그에 따른 이상징후를 평가하기 위해 로그인 진행시 발생하는 텍스트을 활용하여 로그인의 이상유무를 판단하는 평가모듈을 구비하는 제1단계; 상기 평가모듈에는 다수의 데이터를 저장하는 스토리지가 구비되고, 외부로부터 다수의 데이터가 입력되도록 입력기기가 연결되어 배치되는 제2단계; 상기 입력기기를 통해 입력되는 학습데이터를 일정기간 누적하여 상기 스트리지에 저장하는 제3단계; 상기 누적된 다수개의 학습테이터를 상기 평가모듈에서 평가하여 임계값을 결정하는 제4단계;를 포함하여 이루어진다.
또한 본 발명은 상기 결정된 임계값를 스토리지에 저장하는 제5단계; 상기 임계값이 결정된 후 평가해야할 평가데이터를 상기 입력기기를 통해 입력하는 제6단계, 상기 입력되는 평가데이터를 평가기간동안 분석하여 판단값을 결정하는 제7단계; 상기 판단값과 상기 임계값과의 관계를 분석하여 이상유무를 발생하는 제8단계;를 통해 상기 평가데이터에 대한 이상징후 여부를 판단하여 상기 로그인 진행시 발생한 테스트를 통해 해당유저 단말의 이상징후를 판단하는 것을 특징으로 한다.
또한 본 발명은 상기 상기 학습데이터와 상기 평가데이터는 텍스트 데이터로서, 웹서버(Web Server) 로그인 진행시 생성된 텍스트, 침입탐지 시스템(Intrusion Detection System) 로그인 진행시 생성된 텍스트, 스플렁크(Splunk) 내부 로그 텍스트 중의 하나이상으로 상기 로그인 진행시 생성되는 텍스트를 수치로 변화하여 상기 수치화된 로그수치 데이터를 적용하는 것을 특징으로 한다.
또한 본 발명은 상기 제3단계에서 일정기간은 1 내지 5주간 인 것을 특징으로 한다.
또한 본 발명은 상기 제7단계의 평가기간은 일간단위 또는 주간단위 인 것을 특징으로 한다.
또한 본 발명은 상기 제4단계의 평가모듈에는 머신러닝 알고리즘이 탑재됨에 따라 상기 누적된 다수개의 학습데이터를 상기 머신러닝 알고리즘에 입력시켜 학습을 통해 다수개의 시료치를 확보한 다음, 상기 학습시료치로 정규분포곡선을 구하고 상기 정규분포곡선에서 표준편차(σ)를 분석하여 이를 임계값으로 결정하며,
상기 평가테이터를 머신러닝(딥러닝) 알고리즘에 입력시켜 판단값를 확보하는 것을 특징으로 한다.
또한 본 발명은 상기 제4단계의 평가모듈에는 머신러닝 알고리즘이 탑재됨에 따라 상기 누적된 다수개의 학습데이터를 상기 머신러닝 알고리즘에 입력시켜 학습을 통해 학습데티터에 대한 다수개의 학습시료치를 확보한 다음, 상기 다수개의 학습시료치로부터 평균치를 구하고, 상기 각각의 학습시료치에서 평균값을 뺀 차이값을 구한다음 상기 차이값 중에서 일정값을 임계값을 결정하며, 상기 평가테이터를 머신러닝(딥러닝) 알고리즘에 입력시켜 평가데이터에 대한 평가시료치를 구하고, 상기 평가시료치에서 상기 평균값을 뺀 판단값를 확보하는 것을 특징으로 한다.
또한 본 발명은 상기 차이값 중에서 임계값으로 결정하는 일정값은 상기 차이값중에서 상위 70%와 가장 가까이에 있는 차이값을 임계값으로 결정하고 상기 판단값이 상기 임계값보다 크면 이상경고를 발생시키는 것을 특징으로 한다.
또한 본 발명은 상기 표준편차가 +1일때의 값을 1차 상위임계값이라 하고, 상기 표준편차 +2일때의 값을 2차 상위임계값이라 하고, 상기 표준편차 +3일때의 값을 3차 상위임계값이라 하며, 상기 표준편차가 -1일때의 값을 1차 하위임계값이라 하고, 상기 표준편차 -2일때의 값을 2차 하위임계값이라 하고, 상기 표준편차 -3일때의 값을 3차 하위임계값이라 하여, 상기 1차 내지 3차 상위임계값와, 상기 1차 내지 3차 하위임계값를 이상경고를 발생시키는 기준으로 활용하는 것을 특징으로 한다.
또한 본 발명은 상기 평가모듈은 상기 제8단계에서 상기 판단값이 상기 1차 상위임계값과 상기 2차 상위임계값 사이에 존재하거나, 상기 1차 하위임계값과 상기 2차 하위임계값 사이에 존재하면 예비이상경고를 발생하고, 상기 판단값이 상기 2차 상위임계값과 상기 3차 상위임계값 사이에 존재하거나, 상기 2차 하위임계값과 상기 3차 하위임계값 사이에 존재하면 중간이상경고를 발생하며, 상기 판단값이 상기 3차 상위임계값을 벗어나거나, 상기 3차 하위임계값에 미치지 못하는 위치에 존재하면 긴급이상경고를 발생시켜 경고관리단말에게 전달하는 것을 특징으로 한다.
또한 본 발명은 상기 평가모듈에 입력되는 상기 학습데이터와 평가데이터는 평가대상이 되는 모든 로그수치 데이터들에 대해 각각 별도로 구분하여 입력됨에 따라 모든 로그수치 데이터들에 대해 각각 서로 다른 임계값이 정해지고 이를 통해 모든 로그수치 데이터들이 서로 다른 임계값을 통해 각각 이상징후여부가 판단되는 것을 특징으로 한다.
또한 본 발명은 상기 학습데이터는 Bij(여기서 i 는 각 로그종류에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m 이고, j 는 p 종류의 로그인 진행시 발생한 로그수치 데이터들에 대한 시계열 인덱스로서 j = 1, 2, 3, ..., q-1, q, q+1, ..., n-1, n 이며, Bpq 는 p 종류의 로그인을 q 번째 진행할 때 발생된 로그수치데이터임)로서, 상기 학습테이터 Bij를 통해 각 로그종류에 대한 상위임계치인 1차 상위임계값 Xi1와 2차 상위임계값 Xi2와 3차 상위임계값 Xi3을 구하고, 하위임계치인 1차 하위임계값 Yi1와 2차 하위임계값 Yi2와 3차 하위임계값 Yi3을 구하며(여기서 i 는 각 로그종류에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m임), 상기 평가데이터는 Dik(여기서 i 는 각 로그종류에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m 이고, k 는 p 종류의 로그인 진행시 발생한 로그수치 데이터에 대한 시계열 인덱스로서 k = 1, 2, 3, ..., r-1, r, r+1, ..., u-1, u 이며, Dpr 는 p 종류의 로그인을 r 번째 진행했을 때 발생된 로그수치데이터 임)로서, 상기 평가테이터 Dik를 통해 평가값 Zi으로 구한 후 상기 평가값과 상기 1차 내지 3차 상위임계값 및 상기 1차 내지 3차 하위임계값을 비교하여 이상징후를 결정하는 것을 특징으로 한다.
또한 본 발명은 상기 정규분포곡선에서 상위 5%를 결정하는 경계치를 상위임계값으로 하거나, 상기 정규분포곡선에서 하위 5%를 결정하는 경계치를 하위임계값으로 하거나, 상기 상위임계값과 상기 하위임계값을 동시에 적용하여 이상징후를 판단하는 것을 특징으로 한다.
또한 본 발명은 상기 평가모듈은 상기 제8단계에서, 상기 판단값이 상기 상위임계값을 벗어나거나, 상기 하위임계값에 미치지 못하는 위치에 존재하면 이상경고를 발생시켜 경고관리단말에게 전달하는 것을 특징으로 한다.
또한 본 발명은 상기 평가모듈에 입력되는 상기 학습데이터와 평가데이터는 평가대상이 되는 모든 로그종류들에 대해 각각 별도로 구분하여 입력됨에 따라 모든 로그종류들에 대해 각각 서로 다른 임계값이 정해지고 이를 통해 모든 로그종류가 서로 다른 임계값을 통해 각각 이상징후여부가 판단되는 것을 특징으로 한다.
또한 본 발명은 상기 학습데이터는 Bij(여기서 i 는 각 로그종류에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m 이고, j 는 p 종류의 로그인 진행시 발생한 로그수치 데이터들에 대한 시계열 인덱스로서 j = 1, 2, 3, ..., q-1, q, q+1, ..., n-1, n 이며, Bpq 는 p 종류의 로그인을 q 번째 진행했을 때 발생된 로그수치데이터임)로서, 상기 학습테이터 Bij를 통해 각 보안구성요소의 상위임계값 Xi와 하위임계값 Yi를 구하며(여기서 i 는 각 로그종류에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m임), 상기 평가데이터는 Dik(여기서 i 는 각 로그종류에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m 이고, k 는 p 종류의 로그인 진행시 발생한 로그수치 데이터에 대한 시계열 인덱스로서 k = 1, 2, 3, ..., r-1, r, r+1, ..., u-1, u 이며, Dpr 는 p 종류의 로그인을 r 번째 진행했을 때 발생된 로그수치데이터 임)로서, 상기 평가테이터 Dik를 통해 평가값 Zi으로 구한 후 상기 평가값과 상기 상위임계값 및 하위임계값과 비교하여 이상징후를 결정하는 것을 특징으로 한다.
또한 본 발명은 상기 평가테이터 Dik를 통해 구하는 평가값 Zi는 상기 평가테이터 Dik를 정규분포곡선을 구한다음 상기 정규분포곡선의 평균값을 평가값 Zi으로 결정하는 것을 특징으로 한다.
또한 본 발명은 상기 학습데이터와 평가데이터는 접속ip, 세션 아이디, 사용자 식별자, 접속시각, 요청 페이지 상태코드, 사용하는 웹브라우저, 바이트 사이즈가 하나이상 포함되며 상기 접속ip, 세션 아이디, 사용자 식별자, 접속시각, 요청 페이지 상태코드, 사용하는 웹브라우저, 바이트 사이즈를 나타내는 텍스트를 아스키코드로 변환하여 수치화하고 이를 상기 학습데이터와 상기 평가데이터로 사용하는 것을 특징으로 한다.
또한 본 발명은 상기 머신러닝 알고리즘은, 비지도-가시화-탐지(CNN), 비지도-선행제어-탐지(AutoEncoder), 비지도-메모리-탐지(LSTM), 심층메모리-탐지(Deep LSTM), 비지도-양방향-메모리-탐지 (Bidirectional LSTM), 비지도-가시화-메모리-탐지(Convolution LSTM)중의 하나이상을 적용하는 것을 특징으로 한다.
또한 본 발명은 로그에 따른 이상징후를 판단하되 해당유저(유저단말) 로그인 진행시 발생하는 텍스트을 활용하여 이상징후를 파악함으로써 해당 유저의 로그인시 발생하는 이상징후를 파악하는 것을 특징으로 한다.
본 발명은 각종 로그인 종류별(예 : 웹서버(Web Server) 로그인, 침입탐지 시스템(Intrusion Detection System) 로그인, 스플렁크(Splunk) 내부 로그인 등)로 로그인시 생성되는 텍스트 데이터 활용하여 로그인시 이상징후를 분석하여 경고하는 효과가 있다.
또한 본 발명의 로그인 진행시 발생하는 텍스트를 수치로 변환하여 상기 로그수치 데이터를 분석함으로써 손쉽게 로그인 진행시 이상징후를 경고하는 효과가 있다.
또한 본 발명은 로그인 종류별로 각기 다른 임계값을 갖도록 하여 해당 로그인 종류별로 각각의 특성에 맞는 임계값을 갖도록 하여 좀더 정확하게 로그인 진행시에 발생되는 이상징후를 경고하는 효과가 있다.
또한 본 발명은 상기 로그인 진행시 발생하는 이상징후 탐지를 통해 로그인를 진행한 해당유저단말을 작동에 따른 이상징후를 결정하는 효과가 있다.
도 1은 종래의 머신 러닝을 이용한 이상 징후 탐지 시스템(100)을 예시적인 도면이다.
도 2는 본 발명에 따른 가변 임계값(임계치)를 사용한 이상징후 탐지 시스템 구성도이다.
도 3a는 AI 수치 이상 탐지: 학습 알고리즘에 의해 정상 패턴을 학습하여 학습테이터와 탐지데이터의 이상징후를 탐지하는 머신러닝 알고리즘을 보인 화면이다.
도 3b와 3c는 AI 탐지 옵션(민감도(Sensitivity), 중복값(Duplication), 누적데이터(Accumulated Data), 경사도(Slope degree), Time Window Unit, 이상징후(Outlier)/정상징후(Inlier))을 보인 화면이다.
도 3d는 학습데이터 쿼리(SPL), 탐지 데이터 쿼리(SPL)를 사용한 Test Data (KPI = 1) 쿼리(AI 수치 이상 탐지) 화면이다.
도 3e는 학습 데이터 이미지(Splunk Image), 탐지 데이터 이미지(Splunk Image)를 포함하는 Test Data Splunk Image(AI 수치 이상 탐지) 화면이다. 여기서 스플렁크 이미지(Splunk Image)는 웹 기반 인터페이스를 통해 빅데이터를 검색, 모니터링 및 분석하는 비정형 데이터 분석 솔루션을 통해 얻은 이미지임.
도 3f는 일자별 학습데이터 트렌드(추이 그래프), value별 빈도를 나타낸 학습데이터 분포(막대 그래프)를 데이터 시각화(KPI = 1) 한 화면이다.
도 3g는 일자별 탐지데이터 트렌드(추이 그래프-이상 패턴(Anomaly -Outlier)), value별 빈도를 나타낸 탐지데이터 분포(막대 그래프-이상 패턴(Outlier))를 포함하는 탐지 데이터 시각화(KPI = 1) 한 화면이다.
도 3h, 3i는 학습 알고리즘을 사용하여 학습 데이터에 대하여 정상 패턴을 학습 후, 머신러닝 모델을 사용하여 수치 이상 탐지 임계치(threshold)를 적용하고 탐지 데이터를 출력한 다음, 탐지 데이터(도3h 의 탐지데이터 참조)의 예측 값과 실제 값의 거리(distance)를 계산하여 탐지 데이터를 출력하는 화면이다.
도 3j는 학습 알고리즘 후의 일자별 탐지 데이터에 대한 AI 탐지 민감도(Sensitivity)를 보여준 화면으로 탐지테이터에서 이상징후가 있는 테이터(그림에서 빨간색 선)를 정확히 감지하고 있음을 보여주는 화면이다.
도 3k는 JMachine 시나리오 - 탐지 데이터에 대한 AI 탐지 민감도, AI 탐지 원천 데이터를 보여주는 화면이다.
도 4a는 학습데이터 쿼리(SPL), 탐지 데이터 쿼리(SPL)를 사용한 Test Data (KPI = 3) 쿼리(AI 수치 이상 탐지) 화면이다.
도 4b는 학습 데이터 이미지(Splunk Image), 탐지 데이터 이미지(Splunk Image)를 포함하는 Test Data Splunk Image(AI 수치 이상 탐지)(KPI =3) 화면이다.
도 4c는 cpu_system_pct, cpu_user_pct, tot_cpu_pct에 대한 시간대별 학습데이터 트렌드(추이 그래프), value별 빈도를 나타낸 학습데이터 분포(막대 그래프)를 데이터 시각화(KPI = 3) 한 화면이다.
도 4d는 cpu_system_pct, cpu_user_pct, tot_cpu_pct에 대한 시간대별 탐지데이터 트렌드(추이 그래프 - 이상 패턴(Anomaly-Outlier)), cpu_system_pct, cpu_user_pct, tot_cpu_pct별 빈도를 나타낸 탐지데이터 분포(막대 그래프 - 이상 패턴(Outlier))를 포함하는 탐지 데이터 시각화(KPI = 3) 한 화면이다.
도 4e는 학습 알고리즘의 cpu_system_pct, cpu_user_pct, tot_cpu_pct 학습 데이터에 대하여 시간대별/일자별 정상 패턴 학습 후, 머신러닝(딥러닝) 모델을 사용하여 개인별 수치 이상 탐지 임계치(threshold)를 적용하여 탐지 데이터를 출력하고, cpu_system_pct, cpu_user_pct, tot_cpu_pct에 대한 시간대별/일자별 탐지 데이터의 예측 값과 실제 값의 거리(distance)를 계산하여 탐지 데이터를 출력하는 화면이다. 도 4f는 학습 알고리즘을 사용하여 cpu_system_pct, cpu_user_pct, tot_cpu_pct 학습 데이터의 정상 패턴 학습 후 결과: cpu_system_pct, cpu_user_pct, tot_cpu_pct 학습 데이터에 대한 시간대별/일자별 정상 패턴 학습 후, 이상 패턴 표시 화면이다.
도 4f에서 보는 바와 같이 도4d에서 탐지데이터의 시각화에서 이상징후를 갖는 데이터를 학습테이터로 학습하여 얻은 수치이상 탐지 임계치(임계값)통해 분석한 결과 이상징후가 있는 위치(그래프의 파란색선이 이상징후가 있는 위치이고 이를 머신러닝(딥러닝) 알고리즘으로 확인한 결과 이상징후가 있는 위치를 정확히 탐지(12, 13, 14 참조)함을 확인할 수 있음)
도 4g는 JMachine 시나리오 - cpu_system_pct, cpu_user_pct, tot_cpu_pct 탐지 데이터에 관한 AI 탐지 민감도, AI 탐지 원천 데이터 화면이다.
도 4g에서 보는 바와 같이 도4d에서 탐지데이터의 시각화에서 이상징후를 갖는 데이터에서 머신러닝(딥러닝) 알로리즘(JMachine)을 통해 이상징후가 있는 위치(그래프의 빨간색선이 이상징후가 있는 위치임)를 머신러닝(딥러닝) 알고리즘으로 확인한 결과 이상징후가 있는 위치를 정확히 탐지하고 있음을 보여주는 화면임.
도 4h는 cpu_system_pct, cpu_user_pct, tot_cpu_pct 탐지 데이터에 관한 각각 value별 빈도별 히스토그램을 표시한 탐지 데이터를 나타낸 탐지 이벤트 시각화 화면이다.
여기서 tot_cpu_pct = cpu_system_pct + cpu_user_pct 로서 cpu_system_pct를 분석하면 유저의 cpu 사용에 대한 이상징후를 확인할 수 있음을 알 수 있다.
위 설명내용을 참조하여 즉 로그수치 데이터도 위와 동일한 방법을 적용하여 로그인 진행시 발생하는 이상징후를 적용할 수 있다.
즉 해당유저가 로그인 진행시 발생되는 텍스트를 로그수치 데이터로 변환시키며, 이때 변동되는 cpu_system_pct, cpu_user_pct 및 tot_cpu_pct를 분석하면 평상시와 다른 패턴이 나타나는 경우 이상징후로 경고할 수 있다.
이와 같이 로그수치 데이터 변동시에 발생되는 cpu_system_pct의 이상징후를 판단하게 되면 이와 관련된 해당유저가 행하는 로그인에 대한 이상징후를 파악할 수 있어 이상징후에 대처할 수 있는 효과가 있다.
도 5a는 AI 로그 이상탐지: 로그 텍스트 데이터를 수치 데이터로 변형 후 수치 데이터의 이상 패턴 탐지(정상 패턴을 학습하여, 이상 패턴을 수치화하여 임계치 지정) Test Data(KPI=1) 학습 데이터 쿼리(SPL), 탐지 데이터 쿼리(SPL) - AI 로그 이상 탐지 화면이다.
도 5b는 학습 데이터 이미지(Splunk), 탐지 데이터 이미지(Splunk)를 포함하는 Test Data Splunk Image(AI 로그 이상 탐지) 화면이다.
도 5c는 시간, log_key별 시계열적인 순서로 학습 데이터, 탐지 데이터의 임베디드된 텍스트(AI 로그 이상 탐지) 화면이다.
도 5d는 로그인 진행시 발생하는 텍스트 데이터를 보여주는 화면이다.
이하, 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 발명의 구성 및 동작을 상세하게 설명한다. 본 발명의 설명에 있어서 관련된 공지의 기능 또는 공지의 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 자세한 설명을 생략한다. 또한, 도면 번호는 동일한 구성을 표기할 때에 다른 도면에서 동일한 도면번호를 부여한다.
비정상적인 정보 유출을 방지하기 위해 문서 보안이 요구되는 회사의 보안 구역 Room에 설치된 13.56MHz RFID 태그 리더기로 인식된 출입자의 RFID 태그 출입증의 출입 기록과, 사용자 단말(PC, 스마트폰, 태블릿PC)로부터 유무선 통신망을 통해 서버의 디지털 문서 보안실의 웹 접속 기록은 보안 서버의 데이터베이스에 저장되어 관리된다.
도 2는 본 발명에 따른 AI 가변 임계값을 사용한 이상징후 탐지 시스템 구성도이다.
본 실시예에서는, (실시예1) 회사의 보안 지역 Room에 설치된 RFID 태그 리더(110)로 인식된 출입자의 RFID 태그 출입증(130)의 출입 기록과, 디지털 문서 보안실의 웹 접속 기록(log 기록), 추가적으로, (실시예2) 원격 PC의 CPU 모니터링 기능을 갖는 네트워크 장비를 사용하여 모니터링되는 회사내 임직원 PC의 CPU 모니터링 데이터를 보안 서버(200)의 데이터베이스에 저장된다.
본 발명의 AI 가변 임계값를 사용한 이상징후 탐지 시스템은, 보안 지역의 문서 보안실의 출입 시에, 출입자의 태그 출입증(130)을 태깅한 태그 리더(110)의 출입 기록을 전송하는, 태그 리더(110)와 연결된 PC(120); 보안 구역(100)의 출입문의 태그 리더(110)에 의해 태깅된 태그 출입증(130)을 소지한 출입자의 출입 기록, 보안 서버의 디지털 문서 보안실의 웹 접속 기록(log 기록), 원격 PC의 CPU 상태 모니터링 데이터(cpu_system_pct, cpu_user_pct, tot_cpu_pct)을 개인별로 보안 서버의 데이터베이스에 누적 저장하여 시간대별/일자별/기간별 통계에 의해 개인별 z-score, 평균, 표준편차에 따라 정규분포화 한 후 개인별 AI 가변 임계값(상한치, 하한치)를 결정한다.
필요에 따라 선택적으로, 출입 기록, 웹 접속 기록(log 기록), 원격 PC의 CPU 상태 모니터링 데이터(cpu_system_pct, cpu_user_pct, tot_cpu_pct)을 포함하는 학습 데이터를 딥러닝 또는 머신 러닝 학습 알고리즘을 사용하여 정상 패턴을 학습하고, 실시간으로 해당 탐지 데이터에 대하여 개인별로 다른 AI 가변 임계값(상한치, 하한치)를 적용하여 정상 패턴 데이터(정규 분포의 5~95% 이내 정상)와 비정상적인 이상 패턴을 갖는 비정상적인 이상 패턴 데이터(정규 분포의 5% 이하, 95% 이상)를 분리 추출하여 사용자 단말로 UI 화면에 표시하며, 로그를 포함한 최종결과를 리스트 또는 데이터 시각화하여 출력하는 보안 서버(200); 및 상기 보안 서버(200)에 유무선 통신망을 통해 연결된 사용자 단말(179)을 포함한다.
상기 디지털 문서 보안실은 문서와 파일을 저장하는 파일 서버(230)를 더 포함한다.
상기 시스템은, 보안 지역(100)의 문서 보안실의 출입 시에, 출입자의 태그 출입증(130)을 태깅한 태그 리더(110)의 출입 기록을 전송하고, 상기 태그 리더(110)와 연결된 PC(120)를 더 포함한다.
보안 관리자의 사용자 단말은 보안 서버에 접속되고, 탐지 데이터의 유형, 탐지 대상과 기간을 선택하고, 개인별로 다른 AI 가변 임계값이 적용된 출입 기록/웹 접속 기록/원격 PC의 CPU 상태 모니터링 데이터(cpu_system_pct, cpu_user_pct, tot_cpu_pct)를 포함하는 학습 데이터와, 학습 데이터의 정상 패턴(상한치, 하한치)을 표시하고, 실시간으로 탐지되는 탐지 데이터 이미지를 보안 서버(200)에 접속된 사용자 단말로 출력하며, 학습 데이터 시각화, 개인별로 다른 AI 가변 임계값(상한치, 하한치)과 이상 패턴이 표시된 탐지 데이터 시각화, 비정상적인 이상 패턴 데이터(5% 이하, 95% 이상)를 추출하여 로그(log)를 포함한 최종 결과와 리스트 또는 이를 데이터 시각화하여 수치 이상을 화면에 출력된다.
회사내 보안 지역의 문서 보관실(100)은 출입문에 RFID 태그 리더(110)가 출입자의 13.56MHz 태그 출입증(130)의 출입 기록이 문서 보관실 PC(120)를 통해 미들웨어로 연결된 보안 서버(200)로 전송된다.
회사는 사장, 임원/부서/직원별 다수의 사용자 단말(170)이 구비된다.
사용자 단말(170)은 PC 이외에 스마트폰 또는 태블릿 PC를 사용할 수 있다.
학습 데이터는 실시예1) 보안 구역의 문서 보안실의 태그 출입증을 소지한 출입자의 출입 기록, 보안 서버의 디지털 문서 보안실의 웹 접속 기록(log 기록)을 포함한다.
또한, 학습 데이터는 실시예2) 네트워트 장비의 가상 머신을 사용한 원격 PC의 CPU 상태 모니터링(cpu_system_pct, cpu_user_pct, tot_cpu_pct) 데이터를 포함한다.
상기 평가모듈은 학습 데이터의 정상 패턴을 학습하고, 누적된 통계 데이터를 기초로 Z-score, 평균, 표준 편차를 계산하고 정규분포화 한 후 개인별로 다른 가변 임계값(상한치, 하한치)을 결정하고, 개인별로 다른 가변 임계값(상한치, 하한치)에 따라 탐지 데이터의 비정상적인 이상 패턴을 추출하여 탐지 데이터를 제공하며, 이를 데이터 시각화하여 표시되도록 한다.
상기 임계값의 탐지 옵션은 AI 탐지 데이터의 민감도(Sensitivity), 데이터 중복 제거(De-duplication), 누적된 면적(Accumulated Area), 기울기(Slope degree), 타임 윈도우 유닛(Time Window Unit), Outlier/Inlier(이상 징후/정상 징후)가 포함된다.
* 민감도(Sensitivity)란 예측과 실제 값의 차이 정도를 나타내며, 추후 이벤트 탐지의 척도가 됨
* 데이터 중복 제거(De-duplication) : 중복되는 값의 데이터 제외
* 누적된 면적(Accumulated Area) : 데이터의 면적을 이용한 filter 적용 (예: 기준치 미만의 낮은 값의 데이터일때 탐지 하지 않음)
* 기울기(Slope degree) : 데이터의 기울기를 이용한 필터 적용(예: 급감할 때 이벤트 탐지 하지 않음)
* 타임 윈도우 유닛(Time Window Unit) : Window 내 데이터 row 수(예 : 7 unit: 7개의 데이터를 하나의 패턴(input)으로 봄)
* Outlier/Inlier : 이상 징후/정상 징후 중 하나의 이벤트로 탐지 여부
보안 서버(200)는 사용자 단말(170)과 유무선 통신망을 통해 연결되는 WWW 서버(201); 보안 기능을 제어하는 제어부(203); 출입 기록, 디지털 문서 보안실의 웹 접속 기록(log 기록), 원격 PC의 CPU 상태 모니터링(cpu_system_pct, cpu_user_pct, tot_cpu_pct) 데이터, 그 외 필요시 모니터링 데이터를 저장하는 DB(207); 회원정보를 등록받아 저장하여 관리하는 회원관리부(209); ID/Passwd 또는 인증 서버와 연동된 개인 인증서/범용 인증서를 사용하여 사용자를 인증하는 사용자 인증부(211); 기간별로 누적된 학습 데이터의 통계에 기초하여 개인별로 다른 AI 가변 임계값(상한치, 하한치)를 설정하는 AI 가변 임계값 설정부(213); 딥러닝 또는 머신러닝 학습 알고리즘을 사용하여 해당 학습 데이터를 학습하여 상한치에서 하한치까지의 정상 범위의 정상 패턴을 학습하는 기계학습부(215); 상기 개인별로 다른 AI 가변 임계값(상한치, 하한치)를 기준으로 실시간으로 탐지되는 탐지 데이터의 이상 패턴을 탐지하는 이상 패턴 탐지부(217); 해당 학습 데이터와 탐지 데이터를 학습 데이터와 탐지 데이터 리스트 또는 학습 데이터 시각화/탐지 데이터 시각화하여 출력하는 학습 데이터/탐지 데이터 출력부(219); 개인별/부서별/전체 데이터의 Z-score, 평균, 분산, 표준편차의 통계 정보를 제공하는 데이터, 리스트, 또는 비쥬얼하게 데이터 시각화하여 제공하는 통계 처리부(221)를 포함한다.
이하에서 AI 수치 이상 탐지에 대해 설명한다. 여기서의 평가모델은 학습 알고리즘(머신러닝 알로리즘)에 의해 학습 데이터의 정상 패턴을 학습하여 탐지 데이터의 수치 데이터 이상 패턴을 탐지하는 머신러닝 알고리즘이다.
도 3a는 AI 수치 이상 탐지: 학습 알고리즘에 의해 정상 패턴을 학습하여 수치 데이터 이상 패턴을 탐지하는 머신러닝 알고리즘을 보인 화면이다.
보안 서버에 연결된 사용자 단말의 모니터링 클라이언트의 탐지 속성은 탐지 형태(AI 탐지, AI 수치 이상탐지), 탐지 기본 정보(탐지 대상 필드명, 집계 쿼리), AI 기계학습(AI 알고리즘, 기계학습 쿼리, 기계학습 실행, 탐지 쿼리), AI 예측 탐지(AI 탐지 옵션)을 구비한다.
AI 기계 학습은 "기계학습 실행" 메뉴에서 딥러닝 또는 여러 종류의 머신러닝 알고리즘을 선택하여 학습 데이터의 학습을 실행한다.
여기서 사용되는 머신러닝 알고리즘과 그 특성은 아래와 같다
* 비지도-가시화-탐지(CNN) : 1겹의 CNN으로 구성되어 있으며, 시계열 및 이미지 데이터에 효율적임
* 비지도-선행제어-탐지 (AutoEncoder) : 데이터 특성을 보존하여 차원 축소, 다양한 학습 데이터에 사용가능함
* 비지도-메모리-탐지 (LSTM) : 1겹의 LSTM으로 이루어져 있으며, 시계열/텍스트 데이터에 효율적임
* 심층메모리-탐지 (Deep LSTM): 3겹의 LSTM으로 이루어져 있으며, 시계열/텍스트 데이터에 효율적임.
* 비지도-양방향-메모리-탐지 (Bidirectional LSTM) : 1겹의 양방향 LSTM으로 이루어지며, 시계열/텍스트 데이터에 효율적임.
* 비지도-가시화-메모리-탐지 (Convolution LSTM) : 차원을 축소한 데이터를 LSTM에 적용하는 구조로, 공간적 특성을 가지는 이미지나 비디오 데이터에 효율적임.
* 비지도-양방향-순환-탐지 (Bidirectional GRU) : LSTM 단순화 된 버전인 1겹의 Bidirectional GRU로 이루어져 있으며, 시계열/텍스트 데이터에 효과적임
* 비지도-양방향-중첩순환-탐지 (Stacked Bidirectional GRU) : 3겹의 Bidirectional GRU로 이루어져 있으며, 시계열/텍스트 데이터에 효과적임
참고로, Transformer encoder의 레이어(layer)의 수가 늘어날수록, 복잡하거나 긴 Sequence 데이터에 효과적이다. k개의 Transformer encoder를 통해 patch/position 임베딩된 데이터를 인코딩된 데이터를 k개의 decoder에 의해 디코딩되어 학습한다.
컨볼류션 신경망(Convolutional Neural Networks, CNN)은 주로 문자 인식과 영상의 이미지 분석에 사용되는 다층 신경망이다. 컨볼류션 신경망(CNN)은 컨볼루션 층(convolution layer)과 풀링 층(pooling layer)을 쌍(pair)의 형태로 여러 개 사용하고(convolution layer, pooling layer, convolution layer, pooling layer,.. ), 그 뒤에는 몇 개의 FC 층(fully-connected layer)으로 구성된 입력층/은닉층/출력층을 구비하는 다층 퍼셉트론(Multilayer Perceptron, MLP)를 사용할 수 있다. 예를들면, 특정 영상이 CNN의 입력으로 주어졌을 때, 각 층에서 생성되는 특징 맵(feature map)의 재구성 과정을 거친다.
각각의 특징 맵(feature map)으로부터 입력 영상에서 단계적으로 특징들이 추출되고(feature extraction), 분류(classification)된다. 특징 맵(feature map)을 생성하는 과정에서 가중치들을 필터(filter)라고 하며, 컨볼루션 층(convolution layer)에서 사용되는 마스크(mask), 풀링 층(pooling layer)에서 사용되는 2x2, 3x3, 4x4 또는 5x5 윈도우(window), FC 층에서 사용되는 가중치들의 모음을 모두 필터라고 할 수 있다. 풀링 층에서의 down-sampling 또는 sub-sampling)을 위해 평균을 계산하는 mean 함수 또는 최대치를 선택하는 max 함수를 선택하여 사용된다.
또한, CPU, GPU, 메모리 등의 연산 능력과 컴퓨팅 기술의 비약적인 발전으로, RNN(Recurrent Neural Network), LSTM (Long Short-Term Memory), GRU(Gated Recurrent Unit) 등의 머신러닝 알고리즘들은 인공 신경망의 순차 데이터 순서를 유지하며, 많은 분량의 학습 데이터를 학습할 수 있다.
참고로, 순환 신경망(Recurrent Neural Network, RNN)은 특정 노드의 출력이 해당 노드(node)에 다시 입력되는 구조를 갖는 신경망이며 즉, 현재 입력 데이터와 과거의 입력 데이터를 동시에 고려하여 결과값을 도출하며, 학습도 김은 신경망의 학습에서 vanishing gradient problem에 대한 해결 방안으로써, LSTM(Long Short-Term Memory)이 제안되었다.
LSTM(Long Short-Term Memory 장단기 메모리 신경망)은 셀 상태에 정보를 추가하거나 삭제할 수 있는 게이트(gate) 구조를 갖는다. 게이트(gate)는 정보 결정에 있어 선택할 수 있으며, sigmoid 신경망 층과 벡터의 요소 간 곱 연산으로 구성된다.
Bidirectional-LSTM(Bidirectional Long Short-Term Memory, Bi-LSTM, 양방향 장단기 신경망)은 단방향 LSTM 모델과 동일한 입력을 사용하며, 단방향 LSTM 모델의 구조와 달리 양방향으로 언어 모델(language model)의 문장의 시계열적인 정보를 사용하여 훈련(training)한다.
각 layer의 모든 토큰의 output (크기: 512x768)을 LSTM의 입력으로 사용하였으며, LSTM은 2개의 layer로 구성되고, 각 LSTM layer는 512개의 LSTM cell로 구성되며, 각 layer의 LSTM output (크기: 512x192)을 결합한 후에 완전 연결층(fully connected layer)을 사용한다.
Bidirectional GRU(Bidirectional Gated Recurrent Unit, Bi-GRU)는 문장 유사도 측정(sentence similarity measure) 용도로 사용된다.
전처리 후, 각각의 문장의 토큰 시퀀스(each sequence of tokens)는 단어의 임베딩 레이어(Embedding layer)를 통해 임의의 벡터(random vector)로 임베디드 된다. 실시예에서는, Bi-GRU는 크기를 256으로 설정했으며, 포함된 벡터가 계산된다. 실시예에서는, 유사도(similarity)는 완전 연결층(full connect layer, FC)과 유클리디안 거리를 사용한 sigmoid로 계산된다. 유사도(similarity)는 0 ~ 1 사이의 값을 가지며, 유사도 값이 1에 가까울수록 두 문장이 유사하다. 유사도를 측정하기 위해 완전 연결층(FC)과의 거리(distance)를 측정하며, 거리는 Euclidean 거리, Cosine 거리, Manhatten 거리, Minkowski 거리, Chebyshev 거리를 사용할 수 있다.
도 3b와 3c는 AI 탐지 옵션(Sensitivity, Duplication, Accumulated Data, Sloop degree, Time Window Unit, Outlier/Inlier)을 보인 화면이다.
AI 탐지 옵션은 AI 탐지 데이터의 민감도(Sensitivity), 데이터 중복 제거(De-duplication), 누적된 면적(Accumulated Area), 기울기(Slope degree), 타임 윈도우 유닛(Time Window Unit), Outlier/Inlier(이상 징후/정상 징후)가 포함된다.
* 민감도(Sensitivity) : 예측과 실제 값의 차이 정도를 나타내며, 추후 이벤트 탐지의 척도가 됨
* 데이터 중복 제거(De-duplication) : 중복되는 값의 데이터 제외
* 누적된 면적(Accumulated Area) : 데이터의 면적을 이용한 filter 적용
예) 낮은 값의 데이터일때 탐지하지 않음)
* 기울기(Slope degree) : 데이터의 기울기를 이용한 필터 적용 (예: 급감할 때는 이벤트 탐지 하지 않음)
* 타임 윈도우 유닛(Time Window Unit) : Window 내 데이터 row 수
예) 7 unit: 7개의 데이터를 하나의 패턴 (input) 으로 봄
* Outlier/Inlier : 이상 징후/정상 징후 중 어느 부분을 이벤트로 탐지할 지에 대한 여부
도 3d는 학습데이터 쿼리(SPL), 탐지 데이터 쿼리(SPL)를 사용한 Test Data (KPI = 1) 쿼리(AI 수치 이상 탐지) 화면이다.
여기서 KPI(Key Performance Indicator)는 핵심성과지표 데이터의 종류가 한 종류임을 나타낸다.
도 3e는 학습 데이터 이미지(Splunk Image), 탐지 데이터 이미지(Splunk Image)를 포함하는 Test Data Splunk Image(AI 수치 이상 탐지) 화면이다.
도 3f는 UserID에 따라, 일자별 학습데이터 트렌드(추이 그래프), value별 빈도를 나타낸 학습데이터 분포(막대 그래프)를 데이터 시각화(KPI = 1) 한 화면이다.
도 3f에서 KPI = 1 이므로 학습테이터 트렌드나 학습데이터 분포가 한 종류의 데이터임을 확인할 수 있다.
도 3g는 UserID에 따라, 일자별 탐지데이터 트렌드(추이 그래프-이상 패턴(Anomaly-Outlier)), value별 빈도를 나타낸 탐지데이터 분포(막대 그래프-이상 패턴(Outlier))를 포함하는 탐지 데이터 시각화(KPI = 1) 한 화면이다.
도 3h, 3i는 학습 알고리즘을 사용하여 학습 데이터에 대하여 정상 패턴을 학습 후, 머신러닝(딥러닝) 모델을 사용하여 개인별 수치 이상 탐지 임계값(threshold)를 적용하여 탐지 데이터를 출력하고, 탐지 데이터의 예측 값과 실제 값의 거리(distance)를 계산하여 탐지 데이터를 출력하는 화면이다.
도 3j는 학습 알고리즘 후의 일자별 탐지 데이터에 대한 AI 탐지 민감도(Sensitivity) 화면이다.
도 3k는 JMachine 시나리오 - 탐지 데이터에 대한 AI 탐지 민감도, AI 탐지 원천 데이터 화면이다.
도 3h, 및 도 3j에서와 같이 학습데이터를 머신러닝(딥러닝) 모델을 통해 학습한 결과 임계값은 245.3으로 결정된 후 예측된 값과 실제값이 거리(차이)을 계산한 결과 민감도가 5(2510), 6(2573), 7(3138). 8(2959) 가 거리가 멀리 있음을 확인할 수 있어 이상징후를 감지할 수 있음을 보여준다.
또한 도 3k에서와 같이 AI 탐지 원천데이터와 이를 통해 획득한 민감도를 획득한 그래프를 보여준다.
또한 도 3i에서와 같이 학습데이터를 딥러닝 모델을 통해 학습한 결과 임계값이 0.191897로 결정된 후 예측된 값과 실제값이 거리(차이)을 계산한 결과 민감도가 12(2.869), 13(1.975), 14(1.390) 가 거리가 멀리 있음을 확인할 수 있어 이상징후를 감지할 있음을 보여준다.
이하에서 학습데티어와 탐지테이터를 활용하여 처리한 하나의 실시예를 설명한다.
도 4a는 학습데이터 쿼리(SPL), 탐지 데이터 쿼리(SPL)를 사용한 Test Data (KPI = 3) 쿼리(AI 수치 이상 탐지) 화면이다.
도 4b는 학습 데이터 이미지(Splunk Image), 탐지 데이터 이미지(Splunk Image)를 포함하는 Test Data Splunk Image(AI 수치 이상 탐지)(KPI =3) 화면이다.
도 4c는 cpu_system_pct, cpu_user_pct, tot_cpu_pct 학습 데이터에 대한 일자별/시간대별 학습데이터 트렌드(추이 그래프), value별 빈도를 나타낸 학습데이터 분포(막대 그래프)를 데이터 시각화(KPI = 3) 한 화면이다.
네트워크 장비의 가상 머신을 사용하여 CPU 사용량의 기록을 모니터링할 때, CPU 시스템(cpu_system_pct), 임의 사용자의 CPU 사용량(cpu_user_pct), 전체 CPU 사용량(tot_cpu_pct)를 보여준다. 여기서 pct는 percent를 의미하며, 임의 사용자(user)가 사용한 CPU 사용량과 CPU 시스템(cpu_system_pct)과 stem_pct) 전체 CPU 사용량(tot_cpu_pct)과 관계를 통해 임의 사용자(user)가 사용한 CPU 사용량의 이상징후를 결정한다.
여기서 KPI = 3으로, KPI는 CPU 시스템(cpu_system_pct), 임의 사용자의 CPU 사용량(cpu_user_pct), 전체 CPU 사용량(tot_cpu_pct)을 가르킨다.
도 4d는 cpu_system_pct, cpu_user_pct, tot_cpu_pct에 대한 일자별/시간대별 탐지데이터 트렌드(추이 그래프-이상 패턴(Anomaly-Outlier)), value별 빈도를 나타낸 탐지데이터 분포(막대 그래프-이상 패턴(Outlier))를 갖는 탐지 데이터 시각화(KPI = 3) 한 화면이다.
도 4e는 학습 알고리즘의 cpu_system_pct, cpu_user_pct, tot_cpu_pct 학습 데이터에 대하여 시간대별/일자별 정상 패턴 학습 후, 머신러닝(딥러닝) 모델을 사용하여 개인별 수치 이상 탐지 임계값(threshold)를 적용하여 탐지 데이터를 출력하고, cpu_system_pct, cpu_user_pct, tot_cpu_pct에 대한 시간대별/일자별 탐지 데이터의 예측 값과 실제 값의 유클리디안 거리(distance)를 계산하여 탐지 데이터를 출력하는 화면이다.
도 4f는 학습 알고리즘을 사용하여 cpu_system_pct, cpu_user_pct, tot_cpu_pct 학습 데이터의 정상 패턴 학습 후 결과: cpu_system_pct, cpu_user_pct, tot_cpu_pct 학습 데이터에 대한 시간대별/일자별 정상 패턴 학습 후, 이상 패턴 표시 화면이다.
도 4f는를 통해 임의 사용자(user)가 사용한 CPU 사용량과 CPU 시스템(cpu_system_pct)과 전체 CPU 사용량(tot_cpu_pct)과 관계를 통해 임의 사용자(user)가 사용한 CPU 사용량의 이상징후를 결정할 수 있다.
이렇게 함으로써 임의 사용자들이 사용하는 보안구성요소의 이상징후를 통해 임의 사용자들의 이상징후를 결정할 수 있게 된다.
도 4g는 JMachine 시나리오 - cpu_system_pct, cpu_user_pct, tot_cpu_pct 탐지 데이터에 관한 AI 탐지 민감도, AI 탐지 원천 데이터 화면이다.
도 4h는 cpu_system_pct, cpu_user_pct, tot_cpu_pct 탐지 데이터에 관한 각각 value별 빈도별 히스토그램을 표시한 탐지 데이터를 나타낸 탐지 이벤트 시각화 화면이다.
도 5a는 AI 로그 이상탐지: 로그 텍스트 데이터를 수치 데이터로 변형 후 수치 데이터의 이상 패턴 탐지(정상 패턴을 학습하여, 이상 패턴을 수치화하여 임계치 지정) Test Data(KPI=1) 학습 데이터 쿼리(SPL), 탐지 데이터 쿼리(SPL) - AI 로그 이상 탐지 화면이고, 도 5b는 학습 데이터 이미지(Splunk), 탐지 데이터 이미지(Splunk)를 포함하는 Test Data Splunk Image(AI 로그 이상 탐지) 화면이며. 도 5c는 시간, log_key별 시계열적인 순서로 학습 데이터, 탐지 데이터의 임베디드된 텍스트(AI 로그 이상 탐지) 화면이고, 도 5d는 로그인 진행시 발생하는 텍스트 데이터를 보여주는 화면이다.
본 발명에 따른 실시예들은 다양한 컴퓨터 수단을 통해 수행될 수 있는 프로그램 명령 형태로 구현되고 컴퓨터 판독 가능 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 기록 매체는 프로그램 명령, 데이터 파일, 데이터 구조를 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 기록 매체는 스토리지, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 저장 매체에 프로그램 명령을 저장하고 수행하도록 구성된 하드웨어 장치가 포함될 수 있다. 프로그램 명령의 예는 컴파일러에 의해 만들어지는 것과, 기계어 코드뿐만 아니라 인터프리터를 사용하여 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 상기 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로써 작동하도록 구성될 수 있다.
이상에서 설명한 바와 같이, 본 발명의 방법은 프로그램으로 구현되어 컴퓨터의 소프트웨어를 이용하여 읽을 수 있는 형태로 기록매체(CD-ROM, RAM, ROM, 메모리 카드, 하드 디스크, 광자기 디스크, 스토리지 디바이스 등)에 저장될 수 있다.
본 발명의 구체적인 실시예를 참조하여 설명하였지만, 본 발명은 상기와 같이 기술적 사상을 예시하기 위해 구체적인 실시 예와 동일한 구성 및 작용에만 한정되지 않고, 본 발명의 기술적 사상과 범위를 벗어나지 않는 한도 내에서 다양하게 변형하여 실시될 수 있으며, 본 발명의 범위는 후술하는 특허청구범위에 의해 결정되어야 한다.
100: 보안 지역 문서 보관실 110: 태그 리더
120: 문서 보관실 PC 130: 출입자의 태그 출입증
131: 태그 칩 170: 사용자 단말
190: 라우터 200: 보안 서버

Claims (16)

  1. 로그에 따른 이상징후를 평가하기 위해 로그인 진행시 발생하는 텍스트을 활용하여 로그인의 이상유무를 판단하는 평가모듈을 구비하는 제1단계;
    상기 평가모듈에는 다수의 데이터를 저장하는 스토리지가 구비되고, 외부로부터 다수의 데이터가 입력되도록 입력기기가 연결되어 배치되는 제2단계;
    상기 입력기기를 통해 입력되는 학습데이터를 일정기간 누적하여 상기 스트리지에 저장하는 제3단계;
    상기 누적된 다수개의 학습테이터를 상기 평가모듈에서 평가하여 임계값을 결정하는 제4단계;
    상기 결정된 임계값를 스토리지에 저장하는 제5단계;
    상기 임계값이 결정된 후 평가해야할 평가데이터를 상기 입력기기를 통해 입력하는 제6단계
    상기 입력되는 평가데이터를 평가기간동안 분석하여 판단값을 결정하는 제7단계;
    상기 판단값과 상기 임계값과의 관계를 분석하여 이상유무를 발생하는 제8단계;를 통해 상기 평가데이터에 대한 이상징후 여부를 판단하는 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  2. 로그에 따른 이상징후를 평가하기 위해 로그인 진행시 발생하는 텍스트을 활용하여 로그인의 이상유무를 판단하는 평가모듈을 구비하는 제1단계;
    상기 평가모듈에는 다수의 데이터를 저장하는 스토리지가 구비되고, 외부로부터 다수의 데이터가 입력되도록 입력기기가 연결되어 배치되는 제2단계;
    상기 입력기기를 통해 입력되는 학습데이터를 일정기간 누적하여 상기 스트리지에 저장하는 제3단계;
    상기 누적된 다수개의 학습테이터를 상기 평가모듈에서 평가하여 임계값을 결정하는 제4단계;
    상기 결정된 임계값를 스토리지에 저장하는 제5단계;
    상기 임계값이 결정된 후 평가해야할 평가데이터를 상기 입력기기를 통해 입력하는 제6단계
    상기 입력되는 평가데이터를 평가기간동안 분석하여 판단값을 결정하는 제7단계;
    상기 판단값과 상기 임계값과의 관계를 분석하여 이상유무를 발생하는 제8단계;를 통해 상기 평가데이터에 대한 이상징후 여부를 판단하여 상기 로그인 진행시 발생한 테스트를 통해 해당유저 단말의 이상징후를 판단하는 것을 특징으로 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  3. 제1항 또는 제2항에 있어서
    상기 상기 학습데이터와 상기 평가데이터는 텍스트 데이터로서, 웹서버(Web Server) 로그인 진행시 생성된 텍스트, 침입탐지 시스템(Intrusion Detection System) 로그인 진행시 생성된 텍스트, 스플렁크(Splunk) 내부 로그 텍스트 중의 하나이상으로
    상기 로그인 진행시 생성되는 텍스트를 수치로 변화하여 상기 수치화된 로그수치 데이터를 적용하는 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  4. 제1항 또는 제2항에 있어서
    상기 제3단계에서 일정기간은 1 내지 5주간 인 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  5. 제1항 또는 제2항에 있어서
    상기 제7단계의 평가기간은 일간단위 또는 주간단위 인 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  6. 제3항에 있어서
    상기 제4단계의 평가모듈에는 머신러닝 알고리즘이 탑재됨에 따라 상기 누적된 다수개의 학습데이터를 상기 머신러닝 알고리즘에 입력시켜 학습을 통해 다수개의 시료치를 확보한 다음, 상기 학습시료치로 정규분포곡선을 구하고 상기 정규분포곡선에서 표준편차(σ)를 분석하여 이를 임계값으로 결정하며,
    상기 평가테이터를 머신러닝(딥러닝) 알고리즘에 입력시켜 판단값를 확보하는 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  7. 제3항에 있어서
    상기 제4단계의 평가모듈에는 머신러닝 알고리즘이 탑재됨에 따라 상기 누적된 다수개의 학습데이터를 상기 머신러닝 알고리즘에 입력시켜 학습을 통해 학습데티터에 대한 다수개의 학습시료치를 확보한 다음, 상기 다수개의 학습시료치로부터 평균치를 구하고, 상기 각각의 학습시료치에서 평균값을 뺀 차이값을 구한다음 상기 차이값 중에서 일정값을 임계값을 결정하며,
    상기 평가테이터를 머신러닝(딥러닝) 알고리즘에 입력시켜 평가데이터에 대한 평가시료치를 구하고, 상기 평가시료치에서 상기 평균값을 뺀 판단값를 확보하는 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  8. 제7항에 있어서
    상기 차이값 중에서 임계값으로 결정하는 일정값은 상기 차이값중에서 상위 70%와 가장 가까이에 있는 차이값을 임계값으로 결정하고 상기 판단값이 상기 임계값보다 크면 이상경고를 발생시키는 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  9. 제6항에 있어서
    상기 표준편차가 +1일때의 값을 1차 상위임계값이라 하고, 상기 표준편차 +2일때의 값을 2차 상위임계값이라 하고, 상기 표준편차 +3일때의 값을 3차 상위임계값이라 하며,
    상기 표준편차가 -1일때의 값을 1차 하위임계값이라 하고, 상기 표준편차 -2일때의 값을 2차 하위임계값이라 하고, 상기 표준편차 -3일때의 값을 3차 하위임계값이라 하여,
    상기 1차 내지 3차 상위임계값와, 상기 1차 내지 3차 하위임계값를 이상경고를 발생시키는 기준으로 활용하는 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  10. 제9항에 있어서
    상기 평가모듈은 상기 제8단계에서
    상기 판단값이 상기 1차 상위임계값과 상기 2차 상위임계값 사이에 존재하거나, 상기 1차 하위임계값과 상기 2차 하위임계값 사이에 존재하면 예비이상경고를 발생하고
    상기 판단값이 상기 2차 상위임계값과 상기 3차 상위임계값 사이에 존재하거나, 상기 2차 하위임계값과 상기 3차 하위임계값 사이에 존재하면 중간이상경고를 발생하며,
    상기 판단값이 상기 3차 상위임계값을 벗어나거나, 상기 3차 하위임계값에 미치지 못하는 위치에 존재하면 긴급이상경고를 발생시켜 경고관리단말에게 전달하는 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  11. 제3항 내지 제6항 및 제9항 어느 한 항에 있어서
    상기 평가모듈에 입력되는 상기 학습데이터와 평가데이터는 평가대상이 되는 모든 로그수치 데이터들에 대해 각각 별도로 구분하여 입력됨에 따라 모든 로그수치 데이터들에 대해 각각 서로 다른 임계값이 정해지고 이를 통해 모든 로그수치 데이터들이 서로 다른 임계값을 통해 각각 이상징후여부가 판단되는 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  12. 제11항에 있어서
    상기 학습데이터는 Bij(여기서 i 는 각 로그종류에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m 이고, j 는 p 종류의 로그인 진행시 발생한 로그수치 데이터들에 대한 시계열 인덱스로서 j = 1, 2, 3, ..., q-1, q, q+1, ..., n-1, n 이며, Bpq 는 p 종류의 로그인을 q 번째 진행할 때 발생된 로그수치데이터임)로서
    상기 학습테이터 Bij를 통해 각 로그종류에 대한 상위임계치인 1차 상위임계값 Xi1와 2차 상위임계값 Xi2와 3차 상위임계값 Xi3을 구하고,
    하위임계치인 1차 하위임계값 Yi1와 2차 하위임계값 Yi2와 3차 하위임계값 Yi3을 구하며(여기서 i 는 각 로그종류에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m임)
    상기 평가데이터는 Dik(여기서 i 는 각 로그종류에 대한 인덱스로서 i = 1, 2, 3, ..., p-1, p, p+1, ..., m-1, m 이고, k 는 p 종류의 로그인 진행시 발생한 로그수치 데이터에 대한 시계열 인덱스로서 k = 1, 2, 3, ..., r-1, r, r+1, ..., u-1, u 이며, Dpr 는 p 종류의 로그인을 r 번째 진행했을 때 발생된 로그수치데이터 임)로서
    상기 평가테이터 Dik를 통해 평가값 Zi으로 구한 후 상기 평가값과 상기 1차 내지 3차 상위임계값 및 상기 1차 내지 3차 하위임계값을 비교하여 이상징후를 결정하는 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  13. 제6항에 있어서
    상기 정규분포곡선에서 상위 5%를 결정하는 경계치를 상위임계값으로 하거나, 상기 정규분포곡선에서 하위 5%를 결정하는 경계치를 하위임계값으로 하거나, 상기 상위임계값과 상기 하위임계값을 동시에 적용하여 이상징후를 판단하는 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  14. 제13항에 있어서
    상기 평가모듈은 상기 제8단계에서
    상기 판단값이 상기 상위임계값을 벗어나거나, 상기 하위임계값에 미치지 못하는 위치에 존재하면 이상경고를 발생시켜 경고관리단말에게 전달하는 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  15. 제13항 또는 제14항에 있어서
    상기 평가모듈에 입력되는 상기 학습데이터와 평가데이터는 평가대상이 되는 모든 로그종류들에 대해 각각 별도로 구분하여 입력됨에 따라 모든 로그종류들에 대해 각각 서로 다른 임계값이 정해지고 이를 통해 모든 로그종류가 서로 다른 임계값을 통해 각각 이상징후여부가 판단되는 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
  16. 제15항에 있어서
    로그에 따른 이상징후를 판단하되 해당유저(유저단말) 로그인 진행시 발생하는 텍스트을 활용하여 이상징후를 파악함으로써 해당 유저의 로그인시 발생하는 이상징후를 파악하는 것을 특징으로 하는 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
KR1020220015292A 2022-02-07 2022-02-07 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법 KR102661221B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220015292A KR102661221B1 (ko) 2022-02-07 2022-02-07 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220015292A KR102661221B1 (ko) 2022-02-07 2022-02-07 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법

Publications (2)

Publication Number Publication Date
KR20230119312A true KR20230119312A (ko) 2023-08-16
KR102661221B1 KR102661221B1 (ko) 2024-04-25

Family

ID=87848598

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220015292A KR102661221B1 (ko) 2022-02-07 2022-02-07 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법

Country Status (1)

Country Link
KR (1) KR102661221B1 (ko)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100750697B1 (ko) 2005-11-16 2007-08-22 주식회사 마크애니 사용자 액세스 기능을 갖는 공유스토리지가 구비된 디지털문서보안 시스템, 및 그 시스템을 이용한 문서 처리방법
KR101621019B1 (ko) * 2015-01-28 2016-05-13 한국인터넷진흥원 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법
KR102088378B1 (ko) * 2019-05-21 2020-04-22 주식회사 제이슨 인공지능형 통합 it관제 방법 및 시스템
KR102185190B1 (ko) 2018-12-12 2020-12-01 한국전자통신연구원 머신러닝을 이용한 이상징후 탐지 방법 및 시스템
KR20210115991A (ko) * 2020-03-17 2021-09-27 한국전자통신연구원 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100750697B1 (ko) 2005-11-16 2007-08-22 주식회사 마크애니 사용자 액세스 기능을 갖는 공유스토리지가 구비된 디지털문서보안 시스템, 및 그 시스템을 이용한 문서 처리방법
KR101621019B1 (ko) * 2015-01-28 2016-05-13 한국인터넷진흥원 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법
KR102185190B1 (ko) 2018-12-12 2020-12-01 한국전자통신연구원 머신러닝을 이용한 이상징후 탐지 방법 및 시스템
KR102088378B1 (ko) * 2019-05-21 2020-04-22 주식회사 제이슨 인공지능형 통합 it관제 방법 및 시스템
KR20210115991A (ko) * 2020-03-17 2021-09-27 한국전자통신연구원 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치

Also Published As

Publication number Publication date
KR102661221B1 (ko) 2024-04-25

Similar Documents

Publication Publication Date Title
Selim et al. Anomaly events classification and detection system in critical industrial internet of things infrastructure using machine learning algorithms
CN113918526B (zh) 日志处理方法、装置、计算机设备和存储介质
KR102359090B1 (ko) 실시간 기업정보시스템 이상행위 탐지 서비스를 제공하는 방법과 시스템
CN111915468B (zh) 网络反诈骗主动巡检与预警系统
CN112948897B (zh) 一种基于drae与svm相结合的网页防篡改检测方法
Asha et al. Similarity measures for automatic defect detection on patterned textures
CN117094184B (zh) 基于内网平台的风险预测模型的建模方法、系统及介质
Thuraisingham Trustworthy machine learning
CN114883005A (zh) 一种数据分类分级方法、装置、电子设备和存储介质
CN115001934A (zh) 一种工控安全风险分析系统及方法
Min et al. Behavior language processing with graph based feature generation for fraud detection in online lending
You et al. sBiLSAN: Stacked bidirectional self-attention lstm network for anomaly detection and diagnosis from system logs
CN117370548A (zh) 用户行为风险识别方法、装置、电子设备及介质
KR102661221B1 (ko) 로그인 진행시 발생하는 텍스트를 활용하여 로그인시 발생되는 이상징후 탐지방법
KR102680108B1 (ko) Ai 가변 임계값을 사용한 각 구성요소별 이상징후 탐지방법
Liu et al. Mueba: A multi-model system for insider threat detection
Sulayman et al. Designing security user profiles via anomaly detection for user authentication
KR102644230B1 (ko) 머신러닝 학습알고리즘을 이용한 보안실 보관관리 시스템
KR20230119311A (ko) Ai 가변 임계값을 사용한 각 구성요소별 이상징후 탐지방법
CN109583210A (zh) 一种水平权限漏洞的识别方法、装置及其设备
KR102659067B1 (ko) 딥러닝을 적용한 출입문 출입관리 시스템
KR20230072279A (ko) Ai 가변 임계치를 사용한 이상징후 탐지 시스템
KR102647002B1 (ko) 유저별 ai 가변 임계값을 활용한 이상징후 탐지방법.
CN117992861B (zh) 一种电力数据精准度稽查方法及系统
Senthil et al. A hybrid deep learning technique based integrated multi-model data fusion for forensic investigation

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant