은닉마르코프모델 기반 기업정보 유출행위 탐지를 위한 연구
Detection of Corporation Information Leakage based on HMM
- 주제(키워드) 도움말 기업정보 , 은닉마르코프모델 , 정보유출
- 발행기관 서강대학교 정보통신대학원
- 지도교수 양지훈
- 발행년도 2013
- 학위수여년월 2013. 8
- 학위명 석사
- 학과 및 전공 도움말 정보통신대학원 정보시스템보호
- 실제URI http://www.dcollection.net/handler/sogang/000000052522
- 본문언어 한국어
- 저작권 서강대학교 논문은 저작권 보호를 받습니다.
초록/요약 도움말
E-mail used in a corporate environment contains core corporation information related to business. E-mail is a means of communication used by employees for efficient business processing and a means of personal communication. When corporate information is leaked, it can lower the values of a corporate brand and cause great damage to management performance. It is required to detect and test irregular e-mail usage differentiated from e-mail usage patterns for everyday business in order to discover and deal with the acts of information leakage through e-mail. This study set out to model the e-mail usage patterns of internal employees based on the Hidden Markov Model and examine daily e-mail usage logs to diagnose whether they were normal or not. E-mails sent by internal employees were first categorized by taking into account the receiver, reference, time of sending, and attached file. Each e-mail category was then matched to an observation symbol to construct a collection of observation sequences for HMM learning. However, when HMM is taught with the Baum-Welch Algorithm, a disadvantage emerges where the old HMM has a dependent parameter to the learning sequence. In such a case, it becomes difficult to judge whether an act is abnormal or not when a new observation symbol is included. The study proposed the Abnormal Weight Hidden Markov Model (AW-HMM), which is set to separate an observation sequence containing a new observation symbol into a certain weighted state when such an observation sequence is entered, and modeled the e-mail usage patterns of internal employees through AW-HMM. When a sign of abnormality emerged in newly created e-mail patterns, the concerned employee's e-mail usage pattern was compared with those of his or her colleagues in the same department to test the possibility of information leakage. The individual unique model could be applied to such fluid environmental changes as transference to another department and alteration of tasks. The experiment results also demonstrate that AW-HMM is effective for detecting information leakage by judging whether the concerned act is normal or not for the leakage signs that are difficult to check in the rule-based approach.
more초록/요약 도움말
기업 환경에서 사용되는 이메일에는 업무와 관련된 기업 핵심정보가 저장되어 있다. 또한 이메일은 직원이 효율적인 업무처리를 위해 사용하는 통신수단이며 개인적인 통신수단으로도 사용된다. 기업 정보가 유출될 경우, 기업 브랜드 가치의 하락과 함께 경영성과에 큰 손실을 줄 수 있다. 이메일을 통한 정보유출 행위를 발견하고 대응하기 위해서는 일상적인 업무에 사용되는 이메일 사용 패턴과는 구별되는 비정상적인 이메일 사용행위를 포착하여 검증해야 한다. 본 논문에서는 은닉마르코프모델(Hidden Markov Model)을 기반으로 내부직원의 이메일 사용 패턴을 모델링하고, 일단위의 이메일 사용 로그를 검사해 정상여부를 진단하는 방법을 연구한다. 먼저 내부직원이 발송한 이메일들을 수신자, 참조인, 발송시간, 첨부 파일 여부를 고려해 분류하고, 각각의 이메일 분류를 하나의 관찰 심볼에 대응시켜 HMM을 학습시키기 위한 관찰열 집합을 구성한다. 그러나 Baum-Welch 알고리즘을 사용하여 HMM을 학습시킬 경우, 기존의 HMM은 학습열에 의존적으로 파라미터가 추정되는 단점이 있다. 따라서 신규 관찰 심볼이 포함되면 비정상 행위를 판단하기 어렵게 된다. 본 논문에서는 신규 관찰 심볼이 포함된 관찰열이 입력될시, 가중치가 부여된 특정 state로 분기시키도록 설정한 예외가중치 은닉마르코프모델(Abnormal Weight Hidden Markov Model: AW-HMM)을 제시하고, 이 AW-HMM을 이용해 내부직원의 이메일 사용 패턴을 모델링하였다. 신규로 생성되는 이메일 패턴에서 비정상 징후가 나타날 시에는 해당 직원과 같은 부서에서 근무하는 동료직원들의 이메일 사용 패턴과도 비교해 정보유출 가능성을 검증하였다. 개인별 고유모델을 구성함으로써 부서이동이나 업무변경과 같은 유동적인 환경변화에도 적용이 가능하였다. 또한 실험결과는 AW-HMM이 rule-based 방식으로 확인하기 어려운 유출징후에 대하여 정상행위 여부를 판별해 정보유출 탐지에 효과가 있음을 입증하였다.
more