1 |
1
보안 이벤트들을 하나 또는 그 이상의 그룹으로 분류하는 단계;상기 분류된 각 그룹 내의 적어도 하나의 보안 이벤트로부터 유의미한 단어를 추출하는 단계;상기 추출된 유의미한 단어에 기초하여 각 보안 이벤트들을 정탐 그룹 또는 오탐 그룹으로 레이블링하는 단계; 및상기 정탐 그룹 내의 보안 이벤트들 및 상기 오탐 그룹 내의 보안 이벤트들을 수치화하는 단계; 를 포함하는,보안 이벤트 학습데이터 생성 방법
|
2 |
2
제1항에 있어서, 상기 보안 이벤트 학습 방법은,신규 보안 이벤트를 상기 수치화된 정탐 그룹 내의 보안 이벤트들 및 상기 오탐 그룹 내의 보안 이벤트들에 기초하여, 상기 신규 보안 이벤트의 유사도를 측정하는 단계; 상기 측정된 유사도에 기초하여, 상기 신규 보안 이벤트를 상기 정탐 그룹 또는 상기 오탐 그룹으로 레이블링하는 단계; 를 더 포함하는,보안 이벤트 학습데이터 생성 방법
|
3 |
3
제2항에 있어서, 상기 신규 보안 이벤트의 유사도는 제 1 유사도 및 제 2 유사도를 포함하고,상기 제 1 유사도는 상기 정탐 그룹 내의 보안 이벤트들에 대한 상기 신규 보안 이벤트의 유사도이고, 상기 제 2 유사도는 상기 오탐 그룹 내의 보안 이벤트들에 대한 상기 신규 보안 이벤트의 유사도인,보안 이벤트 학습데이터 생성 방법
|
4 |
4
제3항에 있어서, 상기 신규 보안 이벤트를 레이블링하는 단계는:상기 제 1 유사도가 상기 정탐 그룹에 대한 임계 값보다 크고, 상기 제 1 유사도가 상기 제 2 유사도보다 큰 경우, 상기 신규 보안 이벤트를 상기 정탐 그룹으로 레이블링하고,상기 제 2 유사도가 상기 오탐 그룹에 대한 임계 값보다 크고, 상기 제 2 유사도가 상기 제 1 유사도보다 큰 경우, 상기 신규 보안 이벤트를 상기 오탐 그룹으로 레이블링하는,보안 이벤트 학습 데이터 생성 방법
|
5 |
5
제1항에 있어서,상기 유의미한 단어를 추출하는 단계는 TF-IDF 알고리즘에 기초하여 상기 유의미한 단어를 추출하는,보안 이벤트 학습 데이터 생성 방법
|
6 |
6
제2항에 있어서,상기 신규 보안 이벤트의 유사도는 코사인 유사도(cosine similarity)인,보안 이벤트 학습 데이터 생성 방법
|
7 |
7
보안 이벤트들을 하나 또는 그 이상의 그룹으로 분류하는 이벤트 분류부;상기 분류된 각 그룹 내의 적어도 하나의 보안 이벤트로부터 유의미한 단어를 추출하는 단어 추출부;상기 추출된 유의미한 단어에 기초하여 각 보안 이벤트들을 정탐 그룹 또는 오탐 그룹으로 레이블링하는 레이블 분류부; 및상기 정탐 그룹 내의 보안 이벤트들 및 상기 오탐 그룹 내의 보안 이벤트들을 수치화하는 이벤트 수치화부; 를 포함하는,보안 이벤트 학습데이터 생성 장치
|
8 |
8
제7항에 있어서, 상기 보안 이벤트 학습 장치는,신규 보안 이벤트를 상기 수치화된 정탐 그룹 내의 보안 이벤트들 및 상기 오탐 그룹 내의 보안 이벤트들에 기초하여, 상기 신규 보안 이벤트의 유사도를 측정하는 유사도 측정부; 및상기 측정된 유사도에 기초하여, 상기 신규 보안 이벤트를 상기 정탐 그룹 또는 상기 오탐 그룹으로 레이블링하는 레이블 결정부; 를 더 포함하는,보안 이벤트 학습데이터 생성 장치
|
9 |
9
제8항에 있어서, 상기 신규 보안 이벤트의 유사도는 제 1 유사도 및 제 2 유사도를 포함하고,상기 제 1 유사도는 상기 정탐 그룹 내의 보안 이벤트들에 대한 상기 신규 보안 이벤트의 유사도이고, 상기 제 2 유사도는 상기 오탐 그룹 내의 보안 이벤트들에 대한 상기 신규 보안 이벤트의 유사도인,보안 이벤트 학습데이터 생성 장치
|
10 |
10
제9항에 있어서, 상기 레이블 결정부는:상기 제 1 유사도가 상기 정탐 그룹에 대한 임계 값보다 크고, 상기 제 1 유사도가 상기 제 2 유사도보다 큰 경우, 상기 신규 보안 이벤트를 상기 정탐 그룹으로 레이블링하고,상기 제 2 유사도가 상기 오탐 그룹에 대한 임계 값보다 크고, 상기 제 2 유사도가 상기 제 1 유사도보다 큰 경우, 상기 신규 보안 이벤트를 상기 오탐 그룹으로 레이블링하는,보안 이벤트 학습 데이터 생성 장치
|
11 |
11
제7항에 있어서,상기 단어 추출부는 TF-IDF 알고리즘에 기초하여 상기 유의미한 단어를 추출하는,보안 이벤트 학습 데이터 생성 장치
|
12 |
12
제8항에 있어서,상기 신규 보안 이벤트의 유사도는 코사인 유사도(cosine similarity)인,보안 이벤트 학습 데이터 생성 장치
|
13 |
13
보안 이벤트들을 하나 또는 그 이상의 그룹으로 분류하고; 상기 분류된 각 그룹 내의 적어도 하나의 보안 이벤트로부터 유의미한 단어를 추출하고; 상기 추출된 유의미한 단어에 기초하여 각 보안 이벤트들을 정탐 그룹 또는 오탐 그룹으로 레이블링하고; 상기 정탐 그룹 내의 보안 이벤트들 및 상기 오탐 그룹 내의 보안 이벤트들을 수치화하는 동작을 포함하는 프로그램을 저장하는 기록 매체
|