KR101810860B1 - 개인정보 보안제품 통합관제 시스템 - Google Patents

개인정보 보안제품 통합관제 시스템 Download PDF

Info

Publication number
KR101810860B1
KR101810860B1 KR1020170091386A KR20170091386A KR101810860B1 KR 101810860 B1 KR101810860 B1 KR 101810860B1 KR 1020170091386 A KR1020170091386 A KR 1020170091386A KR 20170091386 A KR20170091386 A KR 20170091386A KR 101810860 B1 KR101810860 B1 KR 101810860B1
Authority
KR
South Korea
Prior art keywords
task
user
cluster
data
unit
Prior art date
Application number
KR1020170091386A
Other languages
English (en)
Inventor
김현철
Original Assignee
주식회사 삼오씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 삼오씨엔에스 filed Critical 주식회사 삼오씨엔에스
Priority to KR1020170091386A priority Critical patent/KR101810860B1/ko
Application granted granted Critical
Publication of KR101810860B1 publication Critical patent/KR101810860B1/ko
Priority to PCT/KR2018/002350 priority patent/WO2019017550A1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명은 개인정보 보안제품 통합관제 시스템에 관한 것으로서, 사용자의 업무행동으로 개인정보를 이용하는 데이터를 업무행동 리스트 데이터로 변환하는 업무기반 데이터 변환부와, 데이터 변환부에서 얻어진 업무행동 리스트를 사용자별로 추출하는 업무기반 데이터 추출부와, 사용자별로 추출된 업무행동 리스트를 벡터화하는 업무기반 벡터 변환부와, 벡터화된 업무행동 리스트를 K-평균 알고리즘을 활용하여 클러스터링하여 업무기반 클러스터를 형성하는 업무기반 클러스터링 처리부와, t-다이제스트 알고리즘을 활용하여 상기 업무기반 클러스터의 중심과 요소들간의 거리값 임계치를 계산하는 업무기반 임계치 계산부과, 상기 업무기반 클러스터와 거리값 임계치를 컬럼형태의 데이터 포맷으로 저장하는 클러스터링 저장부로 구성되는 프로파일링 클러스터 저장모듈과; 사용자의 후속 개인정보 접속행위로부터 얻어지는 클러스터의 분석 거리값과 저장모듈에서 얻어진 업무기반 거리값 임계치를 비교하여 이상행위 여부를 판단하는 이상패턴 판단부를 포함하는 이상패턴 분석모듈로 이루어진 것을 특징으로 하므로, 이상패턴을 미리 고정시키지 않고 생성 수집한 로그들을 대상으로 사용자의 업무행위를 분석함으로써 긍정오류 또는 부정오류의 비율을 저감시킬 수 있다.

Description

개인정보 보안제품 통합관제 시스템{INTEGRATED MONITORING SYSTEM FOR PERSONAL INFORMATION SECURITY PRODUCT}
본 발명은 개인정보 데이터에 접속하는 사용자의 개인정보 이용기록을 모니터링하는 관제 시스템에 관한 것이고, 더 상세하게는 개인정보 데이터를 보호하는 보안제품에 접속하는 사용자의 업무행동을 기준으로 개인정보 유출여부를 판단할 수 있는 개인정보 보안제품 통합관제 시스템에 관한 것이다.
일반적으로, 정부기관, 기업, 은행, 연구소 또는 학교 등에서는 인터넷, 무선망과 같은 유무선 통신망을 통해 접속되는 복수의 실행서버를 구축하고 있으며, 일부 실행서버 내에 각종 자료를 구비하여 다른 실행서버와 통신 접속하게 된다. 이러한 복수의 실행서버는 보안시스템과 연결되어 있다.
IT기술이 발전함에 따라 기업 등의 업무 환경이 e-business 중심으로 변화하면서 고객에게 제품 및 서비스 공급하는 기업은 어플리케이션과 데이터베이스라는 형태로 고객들의 개인정보를 대량으로 수집하여 축적하고 이용하게 되었다. 이러한 개인정보가 유출되는 경우 사생활 침해, 범죄 등으로 악용될 수 있으므로, 개인정보 유출위험에 대하여 모니터링하고 조기에 대응하게 된다.
종래에는 보안시스템에 대한 로그정보를 분석하여 정보유출을 방지하였다. 예를 들어, 이기종 보안시스템의 로그를 통합하고 단순 조회 및 행위에 대하여 사전 정의에 부합하는 경우 정상행위 패턴이라 판단하고 그렇지 않은 경우 이상행위 패턴이라 판단하였다.
대한민국 공개특허공보 제10-2014-0088712호(선행기술1)에는 개인정보 접근 현황을 감시하여 비정상 거래를 탐지하는 감시부; 상기 감시부의 출력을 입력받아 개인정보 접근 현황을 실시간 모니터링하는 모니터링부; 상기 모니터링부를 통해 출력되는 개인정보 접근 현황 중, 상기 개인정보에 접근한 어플리케이션의 경로를 분석 및 추적하는 로그 관리부 및 상기 감시부, 모니터링부, 로그 관리부를 제어하는 제어부를 포함하고, 개인정보 접근건수를 이용한 6σ(Six Sigma) 지표를 기준으로 이격도(QCL) 지수를 산출하여 이상 징후를 분류하는 개인정보 접근감시 시스템 및 그 방법이 개시되어 있다.
대한민국 등록특허공보 제10-0980117호(선행기술2)에는 평가대상자의 개인별 행위에 대한 데이터를 수집하는 데이터 수집단계; 사용자 표준화 작업을 수행하고 그 결과를 저장하는 사용자 데이터 웨어하우스 구축단계; 보안위험도 평가 항목에 적합한 개인별 통상행위, 통상행위를 넘는 이탈행위, 개인별 이상행위 및 개인별 인맥 관계도를 파악하여 데이터 마트를 구축하는 데이터 마트 구축단계; 데이터 마트에 구축된 사용자 정의 행위에 대하여 각 해당행위에 부여된 보안단계 가중치를 부여하여 개인별 행위 보안위험도 분석 및 산출단계; 개인별 인맥 보안위험도를 부여하는 개인별 인맥 보안위험도 분석 및 산출단계; 개인별 인사보안위험도를 부여하는 개인별 인사 보안위험도 분석 및 산출단계 및 위 3개의 보안위험도를 합하여 개인별 보안위험도를 산출하는 개인별 보안위험도 분석 및 산출단계로 이루어진 내부정보 유출위협 분석방법이 개시되어 있다.
대한민국 공개특허공보 제10-2014-0035146호(선행기술3)에는 복수의 사용자 각각에 대한 로그정보를 수집하는 로그정보 수집부와; 로그정보와 사용자 각각에 대한 사용자 정보를 통합하여 통합데이터베이스를 구축하는 표준화 데이터 베이스와; 사용자별 패턴을 추출하고, 사용자별 패턴으로부터 통상패턴을 정의하는 패턴추출부와 사용자별 패턴을 통상패턴과 비교하여 보안위험 여부를 판단하는 패턴분석부를 포함하는 정보보안 장치가 개시되어 있다.
대한민국 공개특허공보 제10-2010-0121896호(선행기술4)에는 다수의 사용자 상황 정보를 획득하는 단계; 사용자 상황 정보 각각을 개별 규칙 데이터베이스의 개별 규칙에 적용하여 각 사용자 상황 정보에 따른 예측 결과를 추론하는 단계; 추론된 예측 결과로부터 사용자 상황 정보에 따른 예측 패턴을 생성하는 단계; 패턴 데이터베이스에 저장되어 있는 정답 패턴 또는 오답 패턴 중 예측 패턴과 매칭되는 패턴을 검색하는 단계 및 검색 결과에 따라 사용자에 발생할 다음 상황을 예측하는 단계를 포함하는 패턴 기반 예측 방법이 개시되어 있다.
대한민국 등록특허공보 제10-1462608호(선행기술5)에는 사용자 데이터를 수집하는 데이터 수집부; 수집된 사용자 데이터를 누적하는 빅데이터 DB; 빅데이터 상의 데이터를 분석하여 사용자별 데이터를 패턴화하고 사용자별 패턴의 행위 유형별 특성 전형을 파악하고, 파악된 행위 유형 특성 전형을 통해 이상 징후 패턴화 기준을 설정하는 데이터마이닝부; 시상 징후 패턴화 기준을 사용해 이상 징후 판단 기준을 설정하는 모델링부; 모델링부에 의해 설정된 이상 징후 판단 기준을 데이터 수집부가 제공하는 사용자 데이터에 적용하여 상황 적응형으로 이상 징후를 판단하는 데이타 수집주를 포함하는 적응형 빅데이타 처리 기반 이상 징후 탐지 시스템이 개시되어 있다.
선행기술들에 개시되어 있는 시스템들은 통계적 건수를 기반으로 미리 정해진 통상패턴을 기준으로 사용자의 이상행위 패턴을 탐지하고 있으며 이는 점점 지능화되고 있는 개인정보 유출에 대한 추적이 어려운 문제점이 있었다.
선행기술들은 사용자의 업무행위를 고려하지 않고 통상행위를 사전에 정의하여 고정화시키고 이러한 정의를 벗어나면 이상행위 패턴으로 판단하므로, 사용자는 특정 업무를 수행함에 있어서 통상행위를 벗어난 업무 특성에 적절하게 대응하지 못하는 문제점이 있었다.
선행기술들은 새로운 데이터가 발생하거나 통상행위의 기준이 변경되면, 이를 정의할 수 있는 새로운 규칙을 설정해야 하는 문제점을 유발하게 된다.
대한민국 공개특허공보 제10-2014-0088712호 대한민국 등록특허공보 제10-0980117호 대한민국 공개특허공보 제10-2014-0035146호 대한민국 공개특허공보 제10-2010-0121896호 대한민국 등록특허공보 제10-1462608호
본 발명은 상술된 바와 같은 종래의 문제점을 해결하기 위하여 제안된 것으로, 사용자의 업무행동을 기준으로 개인정보 유출여부를 판단할 수 있는 개인정보 보안제품 통합관제 시스템을 제공하는 데 그 목적이 있다.
본 발명의 다른 목적은 미리 이상패턴을 고정화시키는 통계적 Rule 기반 분석방식을 사용함으로써 야기될 수 있는 긍정오류(false positive) 또는 부정오류(false negative)의 비율을 저감시킬 수 있는 개인정보 보안제품 통합관제 시스템을 제공하는 데 있다.
본 발명의 또 다른 목적은 이상패턴을 미리 고정시키지 않고 생성 수집한 로그들을 대상으로 사용자의 업무행동을 분석함으로써 긍정오류 또는 부정오류의 비율을 저감시킬 수 있는 개인정보 보안제품 통합관제 시스템을 제공하는 데 있다.
상기 목적을 달성하기 위하여, 본 발명에 따른 개인정보 보안제품 통합관제 시스템은 사용자가 보안제품의 로그를 통해서 개인정보를 이용하고 있는 사용자의 업무행동으로 생성되는 데이터를 업무행동 리스트의 데이터로 변환하는 업무기반 데이터 변환부와, 상기 데이터 변환부에서 얻어진 업무행동 리스트를 사용자별로 추출하는 업무기반 데이터 추출부와, 사용자별로 추출된 업무행동 리스트를 벡터화하는 업무기반 벡터 변환부와, 벡터화된 업무행동 리스트를 K-평균 알고리즘을 활용하여 클러스터링하여 업무기반 클러스터를 형성하는 업무기반 클러스터링 처리부와, t-다이제스트 알고리즘을 활용하여 상기 업무기반 클러스터의 중심과 요소들간의 거리값 임계치를 계산하는 업무기반 임계치 계산부과, 상기 업무기반 클러스터와 거리값 임계치를 컬럼형태의 데이터 포맷으로 저장하는 클러스터링 저장부로 구성되는 프로파일링 클러스터 저장모듈과; 사용자가 추후 보안제품의 로그를 통해서 개인정보 이용하는 사용자의 분석대상 업무행동으로 생성되는 데이터로부터 변환되는 업무행동 리스트로부터 얻어지는 분석대상 클러스터의 분석대상 거리값과 상기 저장모듈에서 얻어진 업무기반 거리값 임계치를 비교하여 이상행위 여부를 판단하는 이상패턴 판단부를 포함하는 이상패턴 분석모듈로 이루어진 것을 특징으로 한다.
상기 이상패턴 분석모듈은 사용자가 추후에 보안제품의 로그를 통해서 개인정보를 이용하는 사용자의 분석대상 업무행동으로 생성되는 데이터로부터 분석대상 업무행동 리스트를 생성하는 분석대상 데이터 변환부와, 분석대상 데이터 변환부에서 생성된 분석대상 업무행동 리스트를 벡터화하는 분석대상 벡터 변환부와, 벡터화된 분석대상 업무행동 리스트를 K-평균 알고리즘을 활용하여 분석대상 클러스터를 형성하는 분석대상 클러스터링 처리부와, t-다이제스트 알고리즘을 활용하여 분석대상 클러스터의 중심과 요소들간의 분석대상 거리값을 계산하는 분석대상 거리값 계산부와, 상기 프로파일링 클러스터 저장모듈의 업무기반 클러스터 저장부에 저장되어 있는 업무기반 클러스터의 거리값 임계치를 로딩하는 업무기반 클러스터 로딩부를 더 포함한다.
본 발명에 따르면, 개인정보 보안제품 통합관제 시스템은 이상패턴을 미리 고정시키지 않고 사용자가 보안제품의 로그를 통해서 개인정보를 이용하는 사용자의 업무행동으로 생성되는 데이터를 분석함으로써 긍정오류 또는 부정오류의 비율을 저감시킬 수 있다.
도 1은 본 발명에 따른 개인정보 보안제품 통합관제 시스템의 블록도이다.
도 2는 본 발명에 따른 개인정보 보안제품 통합관제 시스템의 프로파일링 클러스터 저장모듈의 작동상태를 나타낸 흐름도이다.
도 3은 본 발명에 따른 개인정보 보안제품 통합관제 시스템의 이상패턴 분석모듈의 작동상태를 나타낸 흐름도이다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 개인정보 보안제품 통합관제 시스템의 구성 및 작동에 대해 설명한다.
본 발명에 따른 개인정보 보안제품 통합관제 시스템은 사용자가 보안제품의 로그를 통해서 개인정보를 이용하는 사용자의 업무행동으로 생성되는 데이터를 업무행동 리스트의 데이터로 변환하여 리스트화시키는 업무기반 데이터 변환부(111)와, 업무기반 데이터 변환부(111)에서 얻어진 업무행동 리스트를 사용자별로 추출하는 업무기반 데이터 추출부(112)와, 사용자별로 추출된 업무행동 리스트를 벡터화하는 업무기반 벡터 변환부(113)와, 벡터화된 업무행동 리스트를 K-평균 알고리즘을 활용하여 클러스터링하여 업무기반 클러스터를 형성하는 업무기반 클러스터링 처리부(114)와, t-다이제스트 알고리즘을 활용하여 상기 업무기반 클러스터의 중심과 요소들간의 거리값 임계치를 계산하는 업무기반 임계치 계산부(115)과, 상기 업무리스트의 클러스터를 컬럼형태의 데이터 포맷으로 저장하는 업무기반 클러스터링 저장부(116)로 구성되는 프로파일링 클러스터 저장모듈을 포함한다.
업무기반 데이터 변환부(111)는 사용자가 보안제품의 로그를 통해서 개인정보를 이용하는 사용자의 업무행동으로 생성되는 데이터를 상기 업무행동을 중심으로 하는 인덱스를 정의하고 정렬하여 업무행동 리스트 데이터를 생성할 수 있다. 예를 들어, 사용자의 업무행동을 기준으로 하여 '업무행동1', '업무행동2', '업무행동3'의 데이터가 얻어질 때 데이터 변환부(111)는 이들의 인덱스를 각자 '0', '1', '2'로 정의할 수 있다. 사용자가 '업무행동1'을 통해서 개인정보를 이용하는 이용건수가 3건인 경우, 데이터 변환부(111)는 업무행동 리스트를 '업무행동1:3'으로 데이터화 시킨다.
업무기반 데이터 추출부(112)는 업무기반 데이터 변환부(111)에서 생성된 업무행동의 리스트를 사용자별로 추출한다. 예를 들어, 사용자A가 '업무행동1'을 통해서 3건의 개인정보를 이용하고 있으면 데이터 추출부(112)는 사용자A의 업무행동 리스트를 '업무행동1:3'의 데이터로 추출하고, 사용자B가 '업무행동2'를 통해서 4건의 개인정보를 이용하고 있으면 데이터 추출부(112)는 사용자B의 업무행동 리스트를 '업무행동2:4'의 데이터로 추출한다.
업무기반 벡터 변환부(113)는 일반적인 테이블 구조의 데이터를 클러스터링 계산에 효율적인 희소 벡터형식으로 벡터화한다. 예를 들어, 한 컬럼의 데이터가 [1, 0, 0, 0, 0, 0, 5]의 값으로 이루어진 경우, 벡터 변환부(113)는 이러한 데이터를 (7, [0,6], [1,5])의 형식으로 벡터화시키며 이는 길이(갯수)가 7이고, 인덱스가 [0,6]인 포지션에 [1,5]의 값이 존재함을 의미한다.
업무기반 클러스터링 처리부(114)는 주어진 데이터를 업무기반의 K개 클러스터로 묶기 위하여 K-평균 알고리즘(K-means algorithm)을 사용한다.
업무기반 임계치 계산부(115)는 클러스터링 처리부(114)에서 얻어진 클러스터의 중심과 요소들간 거리값 임계치를 계산한다.
업무기반 클러스터링 저장부(116)는 임계치 계산부(115)에서 얻어진 업무기반의 거리값 임계치를 클러스터 단위별로 저장한다.
또한, 본 발명에 따르면, 개인정보 보안제품 통합관제 시스템은 사용자가 추후에 보안제품의 로그를 통해서 개인정보를 이용하는 사용자의 분석대상 업무행동으로 생성되는 데이터로부터 얻어지는 분석대상 클러스터의 분석대상 거리값과 상기 프로파일링 클러스터 저장모듈에서 얻어진 업무기반 거리값 임계치를 비교하여 개인정보 접속행위가 이상패턴인지 정상패턴인지 여부를 판단하는 이상패턴 판단부(126)를 포함하는 이상패턴 분석모듈을 더 포함한다.
상기 이상패턴 분석모듈은 사용자가 추후에 보안제품의 로그를 통해서 개인정보를 이용하는 사용자의 분석대상 업무행동으로 생성되는 데이터를 분석대상 업무행동의 리스트로 변환시키는 분석대상 데이터 변환부(121)와, 분석대상 데이터 변환부(121)에서 생성된 분석대상 업무행동 리스트를 벡터화하는 분석대상 벡터 변환부(122)와, 벡터화된 분석대상 업무행동 리스트를 K-평균 알고리즘을 활용하여 분석대상 클러스터를 형성하는 분석대상 클러스터링 처리부(123)와, t-다이제스트 알고리즘을 활용하여 분석대상 클러스터의 중심과 요소들간의 분석대상 거리값을 계산하는 분석대상 거리값 계산부(124)와, 상기 프로파일링 클러스터 저장모듈의 업무기반 클러스터 저장부(116)에 저장되어 있는 업무기반 클러스터의 거리값 임계값을 로딩하는 업무기반 클러스터 로딩부(125)를 포함한다.
이하, 도 2와 도 3을 참조하여 본 발명에 따른 개인정보 보안제품 통합관제 시스템의 작동에 대해 설명한다.
먼저, 하기 표 1은 3명 사용자(U001, U002, U003)가 보안제품의 로그를 통해서 개인정보를 이용하고 있는 사용자의 업무행동으로 생성되는 데이터를 예시한다.
사용자 ID 업무행동 개인정보 이용건수
U001 업무행동1 3
U002 업무행동2 4
U003 업무행동3 1
U002 업무행동1 3
U003 업무행동1 3
프로파일링 클러스터 저장모듈에 있어서, 업무기반 데이터 변환부(111)는 하기 표 2에 예시한 바와 같이 사용자가 개인정보를 이용하는 업무행동을 기준으로 인덱스를 정의하고 정렬하여 업무행동 리스트 데이터를 생성한다(단계 211 참조). 예를 들어, 업무기반 데이터 변환부(111)는 모니터 화면상의 '업무행동1', '업무행동2', '업무행동3'을 각각 '0', '1', '2'의 인덱스로 정의한다.
사용자 ID 업무행동 개인정보 이용건수 인덱스
U001 업무행동1 3 0
U002 업무행동2 4 1
U003 업무행동3 1 2
U002 업무행동1 3 0
U003 업무행동1 3 0
단계 212에서 업무기반 데이터 추출부(112)는 하기 표 3에 예시한 바와 같이 사용자별로 업무행동 리스트를 추출할 수 있다. 표 3은 사용자 ID별로 U001는 업무행동1을 통해서 개인정보를 이용하였고, U002는 업무행동1과 업무행동2를 통해서 개인정보를 이용하였고, U003은 업무행동1과 업무행동3을 통해서 개인정보를 이용하였음을 의미한다.
사용자 ID 인덱스 리스트 업무행동 리스트
U001 [0] 업무행동1:3
U002 [0,1] 업무행동1:3, 업무행동2:4
U003 [0,2] 업무행동1:3, 업무행동3:1
단계 213에서, 업무기반 벡터 변환부(113)는 사용자별로 추출된 업무행동 리스트를 하기 표 4에 예시한 바와 같이 벡터화한다. 표 4의 벡터값에서 첫번째 값은 로그 전체 업무행동 인덱스의 길이(갯수)이고, 두번째 값은 사용자 업무행동 인덱스이고, 세번째 값은 사용자 업무인덱스별 개인정보 이용건수를 나타낸다.
사용자 ID 벡터 Value
U001 (3,[0],[3])
U002 (3,[0,1],[3,4])
U003 (3,[0,2],[3,1]
단계 214에서 업무기반 클러스터링 처리부(114)는 벡터화된 사용자별 업무행동 리스트를 K-평균 알고리즘을 사용해서 하기 표 5에 예시한 바와 같이 업무기반 클러스터를 형성한다.
사용자 ID 벡터 Value 업무기반 클러스터
U001 (3,[0],[3]) 0
U002 (3,[0,1],[3,4]) 1
U003 (3,[0,2],[3,1] 0
단계 215에서, 업무기반 임계치 계산부(115)는 t-다이제스트 알고리즘을 사용해서 하기 표 6에 예시된 바와 같이 사용자별 클러스터의 중심과 요소들과의 거리값을 계산하고 임계치를 산출한다. 표 6에서 사용자 U001과 U003은 동일 업무기반 클러스터를 갖고 있으므로 두 사용자의 중심에서 클러스터 중심까지의 거리는 0.25로 산출되고, 사용자 U002는 단일 클러스터이므로 그 중심은 0.0으로 산출된다.
사용자 ID 벡터 Value 업무기반 클러스터 거리값
U001 (3,[0],[3]) 0 0.25
U002 (3,[0,1],[3,4]) 1 0.0
U003 (3,[0,2],[3,1] 0 0.25
단계 216에서, 업무기반 클러스터링 저장부는 클러스터 단위별로 거리값의 업무기반 임계치를 하기 표 7의 형태로 저장한다.
업무기반 클러스터 거리값 임계치
0 [0.25, 0.25]
1 [0.0]
상술된 과정을 통해서 업무기반 클러스터의 업무기반 거리값 임계치가 얻어진 후, 이상패턴 분석모듈은 특정 사용자가 추후 보안제품의 로그를 통해서 개인정보를 이용하고 있는 분석하고자 하는 특정 사용자의 업무행동 데이터가 새로이 입력되면, 특정 사용자의 신규 데이터를 기반으로 분석대상 클러스터를 산정하고 분석대상 거리값을 계산한다. 그리고, 이상패턴 분석모듈은 계산된 분석대상 거리값을 업무기반 임계치와 비교하여 특정 사용자의 개인정보 이용행위가 이상패턴인지 정상패턴인지 판단하게 된다.
즉, 단계 311에서, 분석대상 데이터 변환부(121)는 특정 사용자가 추후 보안제품의 로그를 통해서 신규 개인정보를 이용하는 이용건수 데이터를 업무행동 리스트 데이터로 변환한다. 그리고, 분석대상 벡터 변환부(122)는 특정 사용자의 업무행동 리스트를 벡터화한다.
단계 312에서, 분석대상 클러스터링 처리부(123)는 K-평균 알고리즘을 사용해서 특정 사용자의 벡터화된 업무행동 리스트를 분석대상 클러스터로 형성하고, 분석대상 거리값 계산부(124)는 분석대상 클러스터의 중심과 요소들간의 분석대상 거리값을 계산한다.
이상패턴 분석모듈의 업무기반 클러스터 로딩부(125)는 클러스터 저장부(116)에 저장되어 있는 해당 클러스터를 로딩시키고 업무기반 임계치를 추출한다(단계 313, 314 참조)
단계 315에서, 이상패턴 판단부(127)는 추출된 업무기반 임계치와 상기 분석대상 거리값을 비교하여 특정 사용자의 개인정보 이용행위가 이상패턴인지 정상패턴인지 판단하게 된다. 예를 들어, 분석대상 거리값이 임계치보다 크면 이상패턴으로 판단하고 그 반대이면 정상패턴으로 판단하게 된다.
상술된 내용은 본 발명의 바람직한 실시예를 단지 예시한 것으로 본 발명이 속하는 기술분야의 당업자는 청구범위에 기재된 본 발명의 사상 및 요지로부터 벗어나지 않고 본 발명에 대한 수정 및 변경을 가할 수 있다는 것을 인식하여야 한다.
111 : 업무기반 데이터 변환부
112 : 업무기반 데이터 추출부
113 : 업무기반 벡터 변환부
114 : 업무기반 클러스터링 처리부
115 : 업무기반 임계치 계산부
116 : 업무기반 클러스터 저장부
121 : 분석대상 데이터 변환부
122 : 분석대상 벡터 변환부
123 : 분석대상 클러스터링 처리부
124 : 분석대상 거리값 추출부
125 : 업무기반 클러스터 로딩부
126 : 이상패턴 판단부

Claims (2)

  1. 사용자가 보안제품의 로그를 통해서 개인정보를 이용하고 있는 사용자의 업무행동으로 생성되는 데이터를 업무행동 리스트의 데이터로 변환하여 리스트화시키는 업무기반 데이터 변환부와, 상기 데이터 변환부에서 얻어진 업무행동 리스트를 사용자별로 추출하는 업무기반 데이터 추출부와, 사용자별로 추출된 업무행동 리스트를 벡터화하는 업무기반 벡터 변환부와, 벡터화된 업무행동 리스트를 K-평균 알고리즘을 활용하여 클러스터링하여 업무기반 클러스터를 형성하는 업무기반 클러스터링 처리부와, t-다이제스트 알고리즘을 활용하여 상기 업무기반 클러스터의 중심과 요소들간의 업무기반 거리값 임계치를 계산하는 업무기반 임계치 계산부과, 상기 업무기반 클러스터와 거리값 임계치를 컬럼형태의 데이터 포맷으로 저장하는 클러스터링 저장부로 구성되는 프로파일링 클러스터 저장모듈과;
    사용자가 추후 보안제품의 로그를 통해서 개인정보를 이용하는 사용자의 분석대상 업무행동으로 생성되는 데이터로부터 얻어지는 분석대상 클러스터의 중심과 요소들간의 분석대상 거리값과 상기 프로파일링 클러스터 저장모듈에서 얻어진 업무기반 거리값 임계치를 비교하여 이상행위 여부를 판단하는 이상패턴 판단부를 포함하는 이상패턴 분석모듈로 이루어진 것을 특징으로 하는 개인정보 보안제품 통합관제 시스템.
  2. 제1항에 있어서,
    상기 이상패턴 분석모듈은 사용자가 추후에 보안제품의 로그를 통해서 개인정보를 이용하는 사용자의 분석대상 업무행동으로 생성되는 데이터를 분석대상 업무행동 리스트로 변환하는 분석대상 데이터 변환부와, 분석대상 데이터 변환부에서 생성된 분석대상 업무행동 리스트를 벡터화하는 분석대상 벡터 변환부와, 벡터화된 분석대상 업무행동 리스트를 K-평균 알고리즘을 활용하여 분석대상 클러스터를 형성하는 분석대상 클러스터링 처리부와, t-다이제스트 알고리즘을 활용하여 분석대상 클러스터의 중심과 요소들간의 분석대상 거리값을 계산하는 분석대상 거리값 계산부와, 상기 프로파일링 클러스터 저장모듈의 업무기반 클러스터 저장부에 저장되어 있는 업무기반 클러스터의 거리값 임계치를 로딩하는 업무기반 클러스터 로딩부를 더 포함하는 것을 특징으로 하는 개인정보 보안제품 통합관제 시스템.
KR1020170091386A 2017-07-19 2017-07-19 개인정보 보안제품 통합관제 시스템 KR101810860B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020170091386A KR101810860B1 (ko) 2017-07-19 2017-07-19 개인정보 보안제품 통합관제 시스템
PCT/KR2018/002350 WO2019017550A1 (ko) 2017-07-19 2018-02-27 개인정보 보안제품 통합관제 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170091386A KR101810860B1 (ko) 2017-07-19 2017-07-19 개인정보 보안제품 통합관제 시스템

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020170169516A Division KR101933712B1 (ko) 2017-07-19 2017-12-11 개인정보 보안제품 통합관제 방법

Publications (1)

Publication Number Publication Date
KR101810860B1 true KR101810860B1 (ko) 2017-12-20

Family

ID=60931325

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170091386A KR101810860B1 (ko) 2017-07-19 2017-07-19 개인정보 보안제품 통합관제 시스템

Country Status (1)

Country Link
KR (1) KR101810860B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109919180A (zh) * 2019-01-23 2019-06-21 平安科技(深圳)有限公司 电子装置、用户操作记录数据的处理方法和存储介质
CN113536078A (zh) * 2021-07-15 2021-10-22 长江存储科技有限责任公司 用于筛选数据的方法、设备和计算机存储介质
KR20230099009A (ko) 2021-12-27 2023-07-04 주식회사 삼오씨엔에스 개인정보 접속기록 데이터를 통한 개인정보접속 이상행위 분석방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101380278B1 (ko) 2012-09-26 2014-04-02 동국대학교 경주캠퍼스 산학협력단 데이터 접근 철회 방법 및 이를 이용한 클라우드 서비스 시스템
JP2015135589A (ja) 2014-01-17 2015-07-27 株式会社日立製作所 情報分析システム、及び情報分析方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101380278B1 (ko) 2012-09-26 2014-04-02 동국대학교 경주캠퍼스 산학협력단 데이터 접근 철회 방법 및 이를 이용한 클라우드 서비스 시스템
JP2015135589A (ja) 2014-01-17 2015-07-27 株式会社日立製作所 情報分析システム、及び情報分析方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109919180A (zh) * 2019-01-23 2019-06-21 平安科技(深圳)有限公司 电子装置、用户操作记录数据的处理方法和存储介质
CN109919180B (zh) * 2019-01-23 2023-12-22 平安科技(深圳)有限公司 电子装置、用户操作记录数据的处理方法和存储介质
CN113536078A (zh) * 2021-07-15 2021-10-22 长江存储科技有限责任公司 用于筛选数据的方法、设备和计算机存储介质
KR20230099009A (ko) 2021-12-27 2023-07-04 주식회사 삼오씨엔에스 개인정보 접속기록 데이터를 통한 개인정보접속 이상행위 분석방법

Similar Documents

Publication Publication Date Title
US9459950B2 (en) Leveraging user-to-tool interactions to automatically analyze defects in IT services delivery
CN109818798A (zh) 一种融合kpca和elm的无线传感器网络入侵检测***及方法
KR101810860B1 (ko) 개인정보 보안제품 통합관제 시스템
Taymouri et al. Business process variant analysis based on mutual fingerprints of event logs
CN105376193A (zh) 安全事件的智能关联分析方法与装置
US20180165845A1 (en) Method of Analysis of Visualised Data
Lambert II Security analytics: Using deep learning to detect cyber attacks
CN116450482A (zh) 一种用户异常监测方法、装置、电子设备及存储介质
CN110716957B (zh) 类案可疑对象智能挖掘分析方法
Sönmez et al. Anomaly detection using data mining methods in it systems: a decision support application
Aneetha et al. Probabilistic approach for intrusion detection system-fomc technique
KR101933712B1 (ko) 개인정보 보안제품 통합관제 방법
CN117094184B (zh) 基于内网平台的风险预测模型的建模方法、***及介质
CN116545679A (zh) 一种工业情境安全基础框架及网络攻击行为特征分析方法
Bourqui et al. Detecting structural changes and command hierarchies in dynamic social networks
WO2019017550A1 (ko) 개인정보 보안제품 통합관제 시스템 및 방법
KR102410151B1 (ko) 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체
KR20210028952A (ko) 개인정보 보안제품 통합관제 시스템
US11288159B2 (en) System model evaluation system, operation management system, system model evaluation method, and program
Zhang et al. Clustering Methods for Identification of Attacks in IoT Based Traffic Signal System
Dhingra et al. RLET: a lightweight model for ubiquitous multi-class intrusion detection in sustainable and secured smart environment
Schölnast et al. Anomaly Detection in Communication Networks of Cyber-physical Systems using Cross-over Data Compression.
CN117540372B (zh) 智能学习的数据库入侵检测与响应***
CN116405287B (zh) 工控***网络安全评估方法、设备和介质
US20240104072A1 (en) Method, Apparatus And Electronic Device For Detecting Data Anomalies, And Readable Storage Medium

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
A107 Divisional application of patent
GRNT Written decision to grant