지수가중이동평균과 슬라이딩 윈도우를 활용한 잠재적인 보안위반 검출기법
A technique of extracting potential security violations by using exponentially weighted moving average and sliding window
초록/요약
As a side effect from information technology development, enterprises are inevitably exposed to various security vulnerabilities and are increasingly adapting security solutions as a way of counter-measuring such vulnerabilities. However, it is worthwhile to shed light on this approach as it comes with vast amount of cost and management while applying to the entire member of enterprise. Furthermore, the enterprise security environment is slowly shifting its paradigm from protecting against external intrusion threats that are infrastructure centric to protecting against information leakage through internal entities. At the same time, it is apparent that enterprises are not utilizing log data for employee activities appropriately nor are in control of security management of employees at a granular level. As a method to extract employees who are likely to violate security policies based on the log data that enterprises have on storage, this thesis aims to utilize an exponentially weighted moving average model which places appropriate weights on previous security violation activities and recent security violation activities. This thesis also shows that it is more effective to detect abnormalities by dividing into shorter observation periods by using sliding window method and applying the exponentially weighted moving average model to the induced observation periods as opposed to detecting abnormalities from against a long period of time after determining optimal weights to be applied to measured value in accordance with the flow of time from simulations.
more초록/요약
기업은 정보기술의 발전에 따른 부작용으로 수많은 보안 취약점에 노출되어 있고, 이에 대응하기 위한 방안으로 각 취약점에 대한 대응 솔루션을 도입하고 있다. 하지만 이는 전 직원을 대상으로 적용함에 따라 막대한 비용과 관리를 수반하고 있다. 또한 기업의 보안환경은 이제 인프라를 중심으로 한 외부로부터의 침입방지 중심에서 점차 내부로부터의 정보 유출방지로 그 패러다임의 변화하고 있으나 기업의 내부자 보안 관리는 세밀하게 제어되지 못하고 있으며 임직원의 행위에 대한 로그 데이터를 적절하게 활용하지 못하고 있는 것이 현실이다. 이에 본 논문을 통해 기업에서 보관하고 있는 임직원의 로그 데이터를 기반으로 향후 보안 위반 가능성이 있는 임직원을 추출하는 방안으로서 과거의 보안위반행위와 근래의 보안위반행위에 가중치를 달리 부여하는 지수가중이동평균모델을 활용하고자 한다. 시뮬레이션을 통해 시간의 흐름에 따른 측정값에 부여할 최적의 가중치를 결정하고, 긴 기간을 대상으로 이상치를 탐지하는 것보다 슬라이딩 윈도우 기법을 이용하여 구간을 짧게 분할하고 그 분할된 구간별로 지수가중이동평균모델을 적용하는 것이 이상치 탐지에 효과적임을 확인한다.
more