1 |
1
컴퓨터 시스템에 의해 수행되는 적대적 재귀 오토인코더 기반 기업정보시스템 사용자 이상행위 탐지 방법에 있어서, 기업정보시스템에서 사용자의 정상행위에 대한 판별 모델을 도출하는 단계; 및 상기 판별 모델을 통해 오차를 계산하여 사용자 이상행위 탐지(Unusual Insider Behavior Detection, UIBD)를 수행하는 단계를 포함하고, 상기 사용자 이상행위 탐지를 수행하는 단계는, 상기 판별 모델이 상기 정상행위만 사용하여 모델링됨에 따라 기설정된 정상행위의 오차보다 이상행위의 오차가 큰 경우 이상행위를 식별하는 것을 특징으로 하는, 사용자 이상행위 탐지 방법
|
2 |
2
제1항에 있어서,상기 사용자의 정상행위에 대한 판별 모델을 도출하는 단계는, 적대적 반복 자동 인코더(Adversarial Recurrent Auto-encoder, ARAE)를 이용하여 상기 판별 모델을 도출하는 것을 특징으로 하는, 사용자 이상행위 탐지 방법
|
3 |
3
제2항에 있어서,상기 적대적 반복 자동 인코더(ARAE)는, 인코딩된 입력이 주어지면 상기 입력을 잠재 특징으로 인코딩하고 재구성된 결과를 생성함에 따라 상기 오차를 계산 가능하게 하며, 상기 잠재 특징은 적대적 손실을 계산하기 위해 적용되고, 상기 재구성된 결과는 재구성 손실을 계산하는 데 사용되며, 상기 적대적 반복 자동 인코더(ARAE)는 상기 적대적 손실 및 상기 재구성 손실을 최적화하는 것을 특징으로 하는, 사용자 이상행위 탐지 방법
|
4 |
4
제1항에 있어서,상기 사용자의 정상행위에 대한 판별 모델을 도출하는 단계는, 정상행위에 대한 원시 시스템 로그를 dense 임베딩 벡터(Dense Embedding Vector, DEV) 또는 원핫 인코딩(one-hot encoding)으로 인코딩하는 단계; 및 인코딩된 상기 dense 임베딩 벡터 또는 원핫 인코딩(one-hot encoding)의 결과를 적대적 반복 자동 인코더(ARAE)에 적용하여 정상행위에 대한 판별 모델을 도출하는 단계를 포함하는, 사용자 이상행위 탐지 방법
|
5 |
5
제1항에 있어서,미리 저장된 중요한 위협 사전(significant threatening dictionary)을 이용하여 패스트 트랙(fast track)을 통해 중요한 위협 탐지를 수행하는 단계를 더 포함하는, 사용자 이상행위 탐지 방법
|
6 |
6
제5항에 있어서, 상기 중요한 위협 사전은, 상기 사용자 이상행위 탐지 중 시스템 관리자가 심각한 위협 행위로 분류한 행위의 잠재 특징으로 구성되는 것을 특징으로 하는, 사용자 이상행위 탐지 방법
|
7 |
7
제6항에 있어서, 상기 패스트 트랙을 통해 중요한 위협 탐지를 수행하는 단계는, 상기 사용자 이상행위 탐지 중 도출되는 잠재 특징을 상기 중요한 위협 사전에 저장된 특징과 비교하여 유사한 경우, 상기 저장된 특징에 해당하는 행위가 발생한다고 간주하는 것을 특징으로 하는, 사용자 이상행위 탐지 방법
|
8 |
8
제5항에 있어서, 상기 판별 모델을 통해 오차를 계산하여 상기 사용자 이상행위 탐지의 수행 및 상기 미리 저장된 중요한 위협 사전을 이용하여 패스트 트랙을 통해 중요한 위협 탐지의 수행은 상기 사용자 이상행위를 식별하기 위해 상호 보완적으로 작용하는 것을 특징으로 하는, 사용자 이상행위 탐지 방법
|
9 |
9
적대적 재귀 오토인코더 기반 기업정보시스템 사용자 이상행위 탐지 시스템에 있어서, 기업정보시스템에서 사용자의 정상행위에 대한 판별 모델을 도출하는 판별 모델 모델링부; 및 상기 판별 모델을 통해 오차를 계산하여 사용자 이상행위 탐지(Unusual Insider Behavior Detection, UIBD)를 수행하는 사용자 이상행위 탐지부를 포함하고, 상기 사용자 이상행위 탐지부는, 상기 판별 모델이 상기 정상행위만 사용하여 모델링됨에 따라 기설정된 정상행위의 오차보다 이상행위의 오차가 큰 경우 이상행위를 식별하는 것을 특징으로 하는, 사용자 이상행위 탐지 시스템
|
10 |
10
제9항에 있어서,상기 판별 모델 모델링부는, 적대적 반복 자동 인코더(Adversarial Recurrent Auto-encoder, ARAE)를 이용하여 상기 판별 모델을 도출하는 것을 특징으로 하는, 사용자 이상행위 탐지 시스템
|
11 |
11
제10항에 있어서,상기 적대적 반복 자동 인코더(ARAE)는, 인코딩된 입력이 주어지면 상기 입력을 잠재 특징으로 인코딩하고 재구성된 결과를 생성함에 따라 상기 오차를 계산 가능하게 하며, 상기 잠재 특징은 적대적 손실을 계산하기 위해 적용되고, 상기 재구성된 결과는 재구성 손실을 계산하는 데 사용되며, 상기 적대적 반복 자동 인코더(ARAE)는 상기 적대적 손실 및 상기 재구성 손실을 최적화하는 것을 특징으로 하는, 사용자 이상행위 탐지 시스템
|
12 |
12
제9항에 있어서,상기 판별 모델 모델링부는, 정상행위에 대한 원시 시스템 로그를 dense 임베딩 벡터(Dense Embedding Vector, DEV) 또는 원핫 인코딩(one-hot encoding)으로 인코딩하는 시스템 로그 임베딩부; 및 인코딩된 상기 dense 임베딩 벡터 또는 원핫 인코딩(one-hot encoding)의 결과를 적용하여 정상행위에 대한 판별 모델을 도출하는 적대적 반복 자동 인코더(ARAE)를 포함하는, 사용자 이상행위 탐지 시스템
|
13 |
13
제9항에 있어서,미리 저장된 중요한 위협 사전(significant threatening dictionary)을 이용하여 패스트 트랙(fast track)을 통해 중요한 위협 탐지를 수행하는 중요한 위협 탐지부를 더 포함하는, 사용자 이상행위 탐지 시스템
|
14 |
14
제13항에 있어서, 상기 중요한 위협 탐지부는, 상기 사용자 이상행위 탐지 중 시스템 관리자가 심각한 위협 행위로 분류한 행위의 잠재 특징으로 구성되는 것을 특징으로 하는, 사용자 이상행위 탐지 시스템
|
15 |
15
제14항에 있어서, 상기 중요한 위협 탐지부는, 상기 사용자 이상행위 탐지 중 도출되는 잠재 특징을 상기 중요한 위협 사전에 저장된 특징과 비교하여 유사한 경우, 상기 저장된 특징에 해당하는 행위가 발생한다고 간주하는 것을 특징으로 하는, 사용자 이상행위 탐지 시스템
|
16 |
16
제13항에 있어서, 상기 판별 모델을 통해 오차를 계산하여 상기 사용자 이상행위 탐지의 수행 및 상기 미리 저장된 중요한 위협 사전을 이용하여 패스트 트랙을 통해 중요한 위협 탐지의 수행은 상기 사용자 이상행위를 식별하기 위해 상호 보완적으로 작용하는 것을 특징으로 하는, 사용자 이상행위 탐지 시스템
|