[논문]정보 유출 탐지를 위한 머신 러닝 기반 내부자 행위 분석 연구

고장혁; 이동호

doi:10.17662/ksdim.2017.13.2.001

정보 유출 탐지를 위한 머신 러닝 기반 내부자 행위 분석 연구
A Study on the Insider Behavior Analysis Using Machine Learning for Detecting Information Leakage 원문보기

디지털산업정보학회논문지 = Journal of the Korea Society of Digital Industry and Information Management, v.13 no.2, 2017년, pp.1 - 11

Abstract ▼ AI-Helper

In this paper, we design and implement PADIL(Prediction And Detection of Information Leakage) system that predicts and detect information leakage behavior of insider by analyzing network traffic and applying a variety of machine learning methods. we defined the five-level information leakage model(Reconnaissance, Scanning, Access and Escalation, Exfiltration, Obfuscation) by referring to the cyber kill-chain model. In order to perform the machine learning for detecting information leakage, PADIL system extracts various features by analyzing the network traffic and extracts the behavioral features by comparing it with the personal profile information and extracts information leakage level features. We tested various machine learning methods and as a result, the DecisionTree algorithm showed excellent performance in information leakage detection and we showed that performance can be further improved by fine feature selection.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 연구에서는 내부자에 대한 관찰 및 감시를 내부자가 인식하지 못하도록 호스트에 에이전트를 설치하는 방식이 아닌 네트워크 트래픽 분석을 통해 내부자의 정보 유출을 탐지 및 예측하는 분석 프레임워크 (PADIL : Prediction And Detection of Information Leakage based on behavior)를 제안한다. 또한 PADIL에 의해 수집되는 다양한 feature를 통한 머신 러닝 기술 적용에 대해 기술하려 한다. 2장에서는 먼저 내부 행위자 분석 프레임워크에 대해 간략하게 소개하고 3장에서는 머신러닝을 수행하기 위한 데이터 셋과 이를 수집하기 위한 수집 기능 및 행위에 대한 개념과 머신러닝 구조에 대해 설명하고, 4장에서는 머신러닝을 수행한 결과 및 성능비교에 대해 설명하며 5장에서는 결론으로 내부자 행위 분석의 성능을 높이기 위해 나아가야 할 방향과 추가 연구필요성에 대해 기술한다.
본 연구에서는 내부 사용자의 정보유출과 같은 위협적인 행위를 분석하기 위해 대상 데이터를 사용자가 인지하지 못하는 네트워크 트래픽 수집 형태를 선택하였다. 단말 및 호스트에 에이전트를 통한 사용자 행위 수집은 네트워크 데이터를 이용하는 형태에 비해 정확한 사용자의 행위를 알 수 있다는 장점이 있으나 악의적인 사용자가 인지할 수 있다는 단점이 있다[8].
본 연구에서는 내부자에 대한 관찰 및 감시를 내부자가 인식하지 못하도록 호스트에 에이전트를 설치하는 방식이 아닌 네트워크 트래픽 분석을 통해 내부자의 정보 유출을 탐지 및 예측하는 분석 프레임워크 (PADIL : Prediction And Detection of Information Leakage based on behavior)를 제안한다. 또한 PADIL에 의해 수집되는 다양한 feature를 통한 머신 러닝 기술 적용에 대해 기술하려 한다.

제안 방법

그러나 정보유출에 대한 시험 데이터가 기본적으로 정상 대비 비정상 비율이 비슷한 데이터가 아니기 때문에 여기에서는 정확도(Accuracy)보다는 F1-Score를 중점적으로 평가하였다. 이는 isBad(이상 행위)라는 종속변수의 TN(True Negative) 즉, 정상 행위에 대해 정상행위로 예측한 비율이 높아서 정확도의 식을 보면 알 수 있듯이 TP(True Positive)의 값이 전체 정확도 값에 거의 영향을 줄 수 없기 때문이다.
네트워크 트래픽을 수집하여 프로토콜별로 복원하여 사용자의 행위 관련 정보를 획득한다.
본 연구에서는 그림 3과 같은 PADIL 프레임워크를 통해 네트워크 트래픽을 수집 및 복원하여 내부자의 정보 유출에 대한 행위를 탐지한다.
본 연구에서는 내부자의 악의적인 행위를 탐지하기 위해 내부자 트래픽 및 사용자 프로파일 정보를 통해 기본 정보, 네트워크 및 프로토콜, 행위 정보, 정보 유출 단계 정보관련 feature들을 추출하였고, 지도학습의 대표적인 머신러닝 알고리즘 5개를 적용하여 그 성능을 비교하였다. 최종적으로는 분류 및 회귀 알고리즘인 DecisionTree 알고리즘이 가장 우수한 성능을 보였다.
본 연구에서는 정보유출을 탐지하기 위해 지도학습 기반의 대표적인 알고리즘 5가지 적용하여 성능을 비교하였다.
최종적으로는 분류 및 회귀 알고리즘인 DecisionTree 알고리즘이 가장 우수한 성능을 보였다. 성능 향상을 위해 feature selection과 정규화 전처리 방법을 다양하게 적용하였다. 추후 연구로는 네트워크 트래픽에 대한 각 레이어별 프로토콜 헤더 및 페이로드 정보들에 SFID(Size, Frequency, Interval and Delay) 측면의 feature들을 추가하여 머신러닝을 수행할 계획을 가지고 있으며, 보다 정확한 내부자의 행위를 탐지하기 위해 단말에서 운용하는 에이전트를 통해 사용자의 사용 이력정보와 단말기의 자원 운영정보(CPU, 메모리, 디스크, IO 사용률)를 수집하여 feature로 머신러닝을 수행할 계획을 가지고 있다.
성능검증 절차는 그림 12와 같이 Train set(60%)/ Test set(40%) 으로 분리한 후 Train set으로 학습 시키고 Test set으로 predict 진행 후 label과 일치여부를 시험하였다. 각 feature들에 대한 Normalization을 하지 않은 상태에서의 각각의 모델을 학습 결과는 다음과 같이 나왔다.
앞에서 설명한 feature 수집 기술을 통해 기본 정보, 네트워크 및 프로토콜, 행위 정보, 정보 유출 단계 정보관련 feature들을 수집하였다. 이렇게 수집된 feature들은 그림 13과 같이 특징 추출(feature extraction)과 특징 선택(feature selection)을 통해 다양한 모델을 시험 운영하면서 적합한 모델을 완성한다.

대상 데이터

본 연구에서는 정보 유출이라는 내부 위협에 대해 사이버 위협 모델 중 대표적인 7단계 사이버 킬체인 모델을 참고하여 표 4와 같은 5단계 정보 유출 모델을 정의하였다.
MITRE기관의 ELICIT (Exploit Latent Information to Counter Insider Threats)는 그림 1과 같이 4개의 스텝(Decoder, Detector, 분석 및 모델 - 베이시안 네트워크, 사용자 인터페이스)으로 구성되어 있다. 시험 환경은 16 테라 바이트 raw packet, 284일(13개월), 91 million Event 정보를 3983명이 발생시켰다. 프로토콜 비율은 SMB 프로토콜이 61%로 제일 높은 비율을 HTTP 35%, SMTP 3%, FTP 1%의 비율을 보였다.

성능/효과

시험 결과에 의하면 표 6, 표 7, 표 8과 같이 분류 및 회귀 알고리즘인 DecisionTree 알고리즘과 앙상블 알고리즘인 RandomForest 알고리즘이 우수한 성능을 보였으나 앞에서 설명한 바와 같이 시험 데이터의 비대칭성을 고려할 때 F1-Score가 조금 더 높은 DecisionTree 알고리즘의 성능이 더 우수하다고 하겠다.
본 연구에서는 내부자의 악의적인 행위를 탐지하기 위해 내부자 트래픽 및 사용자 프로파일 정보를 통해 기본 정보, 네트워크 및 프로토콜, 행위 정보, 정보 유출 단계 정보관련 feature들을 추출하였고, 지도학습의 대표적인 머신러닝 알고리즘 5개를 적용하여 그 성능을 비교하였다. 최종적으로는 분류 및 회귀 알고리즘인 DecisionTree 알고리즘이 가장 우수한 성능을 보였다. 성능 향상을 위해 feature selection과 정규화 전처리 방법을 다양하게 적용하였다.
시험 환경은 16 테라 바이트 raw packet, 284일(13개월), 91 million Event 정보를 3983명이 발생시켰다. 프로토콜 비율은 SMB 프로토콜이 61%로 제일 높은 비율을 HTTP 35%, SMTP 3%, FTP 1%의 비율을 보였다. 사용자의 Action 분포는 다음과 같다.

후속연구

인간이 발견하거나 인지하는 내부자의 행위에는 한계가 있다. 그러한 한계를 극복할 수 있는 방안으로 머신러닝 기술은 인간과는 다르게 데이터 즉, 수치를 처리하고 내부자의 악의적인 행위를 탐지할 수 있다는데 무한한 활용가능성이 있다고 하겠다. 내부자의 악의적인 행위탐지 분석하는 기술로 인간이 인지하거나 알려진 규칙(Rule) 기반의 탐지기술과 머신러닝 기술을 활용한 탐지 기술을 혼용 사용할 때 보다 나은 성능을 기대할 수 있을 것이다.
그러한 한계를 극복할 수 있는 방안으로 머신러닝 기술은 인간과는 다르게 데이터 즉, 수치를 처리하고 내부자의 악의적인 행위를 탐지할 수 있다는데 무한한 활용가능성이 있다고 하겠다. 내부자의 악의적인 행위탐지 분석하는 기술로 인간이 인지하거나 알려진 규칙(Rule) 기반의 탐지기술과 머신러닝 기술을 활용한 탐지 기술을 혼용 사용할 때 보다 나은 성능을 기대할 수 있을 것이다.
사용자 행위 지표(Indicator)는 패킷 및 파일 메타에서 그림 11과 같이 프로토콜 분류, 프로파일 정보 이용, 추가정보 이용, 통계정보를 이용하는 경우로 현재는 그림 12와 같이 내부 유출 5단계로 분류하여 100여개가 개발되었으며 추후 300개정도까지 증가 시킬 계획이다. 이렇게 Indicator에 의해 탐지된 행위에 관련된 feature들은 표 3과 같다.
성능 향상을 위해 feature selection과 정규화 전처리 방법을 다양하게 적용하였다. 추후 연구로는 네트워크 트래픽에 대한 각 레이어별 프로토콜 헤더 및 페이로드 정보들에 SFID(Size, Frequency, Interval and Delay) 측면의 feature들을 추가하여 머신러닝을 수행할 계획을 가지고 있으며, 보다 정확한 내부자의 행위를 탐지하기 위해 단말에서 운용하는 에이전트를 통해 사용자의 사용 이력정보와 단말기의 자원 운영정보(CPU, 메모리, 디스크, IO 사용률)를 수집하여 feature로 머신러닝을 수행할 계획을 가지고 있다. 인간이 발견하거나 인지하는 내부자의 행위에는 한계가 있다.
현재는 통계성 정보를 feature로 생성하였으나 추후에는 프로토콜별 특성이 있는 feature를 생성해 각각의 머신 러닝 모델을 개발할 계획이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	단말 및 호스트에 에이전트를 통한 사용자 행위 수집의 단점은 무엇인가?	본 연구에서는 내부 사용자의 정보유출과 같은 위협적인 행위를 분석하기 위해 대상 데이터를 사용자가 인지하지 못하는 네트워크 트래픽 수집 형태를 선택하였다. 단말 및 호스트에 에이전트를 통한 사용자 행위 수집은 네트워크 데이터를 이용하는 형태에 비해 정확한 사용자의 행위를 알 수 있다는 장점이 있으나 악의적인 사용자가 인지할 수 있다는 단점이 있다[8].
	PADIL 시스템의 수집기의 기능 구성은 어떻게 되는가?	- 데이터 수집: 네트워크상에 흐르는 패킷을 수집 - 데이터 복원: 수집된 패킷을 분석가능한 형태로 변환 - 데이터 저장: 수집된 패킷 및 정보를 하둡으로 분산 저장/관리
	MIT대학에서 AI2 프로젝트를 통해 무엇을 발표하였는가?	대표적인 프로젝트로 MITRE기관의 ELICIT(Exploit Latent Information to Counter Insider Threats)와 DARPA기관의 ADAMS (Anomaly Detection at Multiple Scales) 프로젝트가 있으며[2, 3] 최근에는 GPU의 발전으로 머신러닝의 적용성이 좋아짐에 따라 MIT대학에서 머신러닝 기술을 이용한 AI2(Artificial Intelligent Analyst Intuition) 프로젝트를 통해 지도학습(supervised learning)와 비지도 학습(unsupervised learning)을 조합 형태의 분석 기술을 발표하였고, 자체 발표에 따르면 기존의 내부 위협 85% 수준의 검출 성능을 보인다고 발표하였다[5, 6]. 또한 상용 제품들은 데이터량을 고려해 주로 정보보호 제품의 로그들을 대상으로 분석하는데 규칙(Rule) 기반의 탐지와 머신러닝 기반의 탐지를 혼용한 Splunk의 UBA (User Behavior Analytics)와 록히드 마틴의 Wisdom ITI(Insider Threat Identification) 등이 있다.

참고문헌 (10)

Richard C. Brackney, Robert H. Anderson, "Understanding the Insider Threat," RAND, 2005.
Marcus A. Maloof외 1인, "ELICT: A System for Detecting Insiders Who Violate Need-toknow," RAID(Recent Advances in Intrusion Detection) 2007, pp. 146-166.
Ted E. Senator 외 26인, "Detecting Insider Threats in a Real Corporate Database of Computer Usage Activity," ACM SIGKDD, 2013, pp. 1393-1401.
William T. Young 외 4인, "Use of Domain Knowledge to Detect Insider Threats in Computer Activities," IEEE Security and Privacy Workshops, 2013, pp. 60-67.
김태현 ？ 최승원, "SDR 시스템에서 GPU를 사용한 Lattice Reduction-aided 검출기 구현," 디지털산업정보학회, 제8권 4호, 2012, pp.91-98.
고장혁. 이동호, "국방정보시스템 성능향상을 위한 효율적인 GPU 적용방안 연구," 디지털산업 정보학회, 제11권 제1호, 2015, pp.27-35.
고장혁 ？ 임원기, "네트워크 트래픽 분석을 통한 행위기반 분석기술 연구," 한국군사과학기술학회, 종합학술대회, 2016, pp. 1291-1292.
Richard Bejtlich, "Practice of Network Security Monitoring," 2013.
Nutan Farah Haq 외 5인, "Application of Machine Learning Approaches in Intrusion Detection System: A Survey," International Journal of Advanced Research in Artificial Intelligence, Vol. 4, No.3, 2015, pp. 9-18.
Jeffrey Cleveland 외 3인, "Scalable Machine Learning Framework for Behavior-Based Access Control," Resilent Control Systems (ISRCS), 2013 6th International Symposium, pp 181-185.

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증