| 1 |
1
체인룰 생성부에 의해, 이력 정보를 근거로, 행위자들의 정상 패턴들에 대해 복수의 특징 벡터들에 따른 정상 체인룰을 생성하는 단계;모니터링부에 의해, 유지 보수 이력이 존재하는 관심 파일들에 대해 행위자별 모니터링을 수행하는 단계;판단부에 의해, 상기 관심 파일들 중 적어도 하나의 관심 파일에 대한 접근이 감지된 경우, 상기 정상 체인룰을 근거로 상기 관심 파일에 대한 접근이 정상 접근인지 판단하는 단계; 및상기 판단부에 의해, 상기 관심 파일에 대한 접근이 정상 접근이 아닌 것으로 판단된 경우, 기저장된 불법 체인룰을 근거로 상기 관심 파일에 대한 접근이 불법 접근인지 판단하는 단계를 포함하고,상기 정상 체인룰은 내부자의 행동의 복잡도에 따라 상기 정상 체인룰에 포함되는 정상 체인들의 개수가 상이하게 포함되는 것을 특징으로 하는, 내부자 불법 행위 탐지 방법
|
| 2 |
2
제1항에 있어서,상기 정상 체인룰을 생성하는 단계는,벡터 추출부에 의해, 상기 이력 정보를 근거로 상기 관심 파일들 각각에 대해 통계 분석을 수행함으로써, 각 관심 파일의 접근에 대해 복수의 특징 벡터 별로 구분하여 행동 패턴을 추출하는 단계; 및상기 체인룰 생성부에 의해, 상기 행동 패턴을 분석함으로써 정상 행동 패턴과 특이 행동 패턴을 구분하는 단계;를 포함하는 것을 특징으로 하는, 내부자 불법 행위 탐지 방법
|
| 3 |
3
제2항에 있어서,상기 정상 체인룰을 생성하는 단계는,상기 체인룰 생성부에 의해, 상기 특이 행동 패턴을 근거로 상기 관심 파일들 각각에 대한 정상 체인들을 생성하는 단계; 및체인룰 생성부에 의해, 상기 정상 체인들을 근거로 정상 체인룰을 생성하는 단계를 더 포함하는 것을 특징으로 하는, 내부자 불법 행위 탐지 방법
|
| 4 |
4
제3항에 있어서,상기 정상 체인룰은 상기 특징 벡터들 중 적어도 하나의 속성에 따라 생성되고, 행동과 조건 룰이 체이닝 될 때 각 정상 체인에 대한 결과 값은 바이너리(binary) 형태로 설정되는 것을 특징으로 하는, 내부자 불법 행위 탐지 방법
|
| 5 |
5
삭제
|
| 6 |
6
제1항에 있어서,상기 관심 파일에 대한 접근이 상기 정상 체인룰 및 상기 불법 체인룰에 속하지 않는 경우, 상기 관심 파일의 접근에 대한 행동 체인룰을 생성하는 단계; 및상기 행동 체인룰을 관리자에게 송신하는 단계를 더 포함하는 것을 특징으로 하는, 내부자 불법 행위 탐지 방법
|
| 7 |
7
제6항에 있어서,상기 관리자의 입력 정보를 근거로 상기 행동 체인룰에 대한 불법 접근 여부를 확인하고, 상기 행동 체인룰이 불법 접근인 것으로 확인될 시, 상기 체인룰 생성부에 의해, 상기 행동 체인룰을 불법 체인룰로 추가하는 단계를 더 포함하는 것을 특징으로 하는, 내부자 불법 행위 탐지 방법
|
| 8 |
8
제1항에 있어서,상기 관심 파일에 대한 접근이 불법 접근인지 판단하는 단계는,특징 벡터들로 구분된 불법 체인들을 포함하는 불법 체인룰과 상기 관심 파일에 대한 접근을 단계적으로 비교함으로써 이루어지는 것을 특징으로 하는, 내부자 불법 행위 탐지 방법
|
| 9 |
9
제1항에 있어서, 상기 행위자별 모니터링을 수행하는 단계는,상기 관심 파일들을 기설정된 빈도 등급으로 구분하는 단계; 및상기 빈도 등급에 따라 구분하여 관심 파일들을 모니터링하는 단계를 포함하는 것을 특징으로 하는, 내부자 불법 행위 탐지 방법
|
| 10 |
10
제1항에 있어서,상기 특징 벡터는 3W1F(Who, What, When, Frequency)를 포함하는 것을 특징으로 하는, 내부자 불법 행위 탐지 방법
|
| 11 |
11
이력 정보를 근거로, 행위자들의 정상 패턴들에 대해 복수의 특징 벡터들에 따른 정상 체인룰을 생성하는 체인룰 생성부;유지 보수 이력이 존재하는 관심 파일들에 대해 행위자별 모니터링을 수행하는 모니터링부; 상기 관심 파일들 중 적어도 하나의 관심 파일에 대한 접근이 감지된 경우, 상기 정상 체인룰을 근거로 상기 관심 파일에 대한 접근이 정상 접근인지 판단하고, 상기 관심 파일에 대한 접근이 정상 접근이 아닌 것으로 판단된 경우, 기저장된 불법 체인룰을 근거로 상기 관심 파일에 대한 접근이 불법 접근인지 판단하는 판단부를 포함하고,상기 정상 체인룰은 내부자의 행동의 복잡도에 따라 상기 정상 체인룰에 포함되는 정상 체인들의 개수가 상이하게 포함되는 것을 특징으로 하는, 내부자 불법 행위 탐지 장치
|
| 12 |
12
제11항에 있어서,상기 이력 정보를 근거로 상기 관심 파일들 각각에 대해 통계 분석을 수행함으로써, 각 관심 파일의 접근에 대해 복수의 특징 벡터 별로 구분하여 행동 패턴을 추출하는 벡터 추출부를 더 포함하고, 상기 체인룰 생성부는,상기 행동 패턴을 분석함으로써 정상 행동 패턴과 특이 행동 패턴을 구분하는 것을 특징으로 하는, 내부자 불법 행위 탐지 장치
|
| 13 |
13
제12항에 있어서,상기 체인룰 생성부는,상기 특이 행동 패턴을 근거로 상기 관심 파일들 각각에 대한 정상 체인들을 생성하고, 상기 정상 체인들을 근거로 정상 체인룰을 생성하는 것을 특징으로 하는, 내부자 불법 행위 탐지 장치
|
| 14 |
14
제13항에 있어서,상기 정상 체인룰은 상기 특징 벡터들 중 적어도 하나의 속성에 따라 생성되고, 행동과 조건 룰이 체이닝 될 때 각 정상 체인에 대한 결과 값은 바이너리 형태로 설정되는 것을 특징으로 하는, 내부자 불법 행위 탐지 장치
|
| 15 |
15
삭제
|
| 16 |
16
제11항에 있어서,상기 관심 파일에 대한 접근이 상기 정상 체인룰 및 상기 불법 체인룰에 속하지 않는 경우, 상기 체인룰 생성부는 상기 관심 파일의 접근에 대한 행동 체인룰을 생성하고, 상기 행동 체인룰을 관리자에게 송신하는 것을 특징으로 하는, 내부자 불법 행위 탐지 장치
|
| 17 |
17
제16항에 있어서,상기 체인룰 생성부는 상기 관리자의 입력 정보를 근거로 상기 행동 체인룰에 대한 불법 접근 여부를 확인하고, 상기 행동 체인룰이 불법 접근인 것으로 확인될 시, 상기 행동 체인룰을 불법 체인룰로 추가하는 것을 특징으로 하는, 내부자 불법 행위 탐지 장치
|
| 18 |
18
제11항에 있어서,상기 판단부는특징 벡터들로 구분된 불법 체인들을 포함하는 불법 체인룰과 상기 관심 파일에 대한 접근을 단계적으로 비교함으로써 상기 관심 파일에 대한 접근이 불법 접근인지 판단하는 것을 특징으로 하는, 내부자 불법 행위 탐지 장치
|
| 19 |
19
제11항에 있어서, 상기 모니터링부는,상기 관심 파일들을 기설정된 빈도 등급으로 구분하고, 상기 빈도 등급에 따라 구분하여 관심 파일들을 모니터링함으로써 행위자별 모니터링을 수행하는 것을 특징으로 하는, 내부자 불법 행위 탐지 장치
|
| 20 |
20
제11항에 있어서,상기 특징 벡터는 3W1F를 포함하는 것을 특징으로 하는, 내부자 불법 행위 탐지 장치
|
